Hello,

Lets assume that *id = uid or gid or euid or suid or fsuid or egid or sgid or fsgid.

Audispd audit-remote (au-remote.conf) plugin sends native (numeric) uid, gid, euid, suid, fsuid, egid, sgid, fsgid.

I want to correlate logs from many Linux boxes so I need to have *ids resolved to user/group names, similar to ausearch witch option “—interpret”. Is there any way to enrich events with user/group names in au-remote or even earlier – in auditd or audit?

I’ve considered forking audit-remote to use auparse (injecting additional code somewhere near line 412 of audisp-remote.c) or doing something like “tail … --follow audit.log | ausearch … -i”. Am I correct that to be 100% sure that user or group corresponds to appropriate *id the mapping process has to be done in the kernel? Otherwise there is low probability that during the time gap between actual event and “ausearch –i” someone could change *id or user/group name.

Any help would be appreciated.

Best regards,

 

Arkadiusz Wojtczak

Mainframe Security Expert

 

 

PKO Bank Polski

Departament Bezpieczeństwa

Biuro Bezpieczeństwa Informatycznego

02-515 Warszawa, ul. Puławska 15

t: 22 521 68 80

k: 666 824 168

 

Nie drukuj tej wiadomości, ani innych dokumentów, jeśli nie jest to konieczne.

 

Powszechna Kasa Oszczędności Bank Polski Spółka Akcyjna z siedzibą w Warszawie przy ul. Puławskiej 15, 02-515 Warszawa, zarejestrowana w Sądzie Rejonowym dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod nr KRS 0000026438; NIP: 525-000-77-38 REGON: 016298263; kapitał zakładowy (kapitał wpłacony) 1 250 000 000 PLN / Powszechna Kasa Oszczędności Bank Polski S.A. registered in the District Court for the Capital City of Warsaw, 13th Commercial Division of the National Court Register under KRS number 0000026438, Tax Identification Number (NIP): 525-000-77-38, REGON: 016298263, share capital 1,250,000,000 PLN.

 

Niniejsza wiadomość może zawierać poufną i prawnie zastrzeżoną korespondencję między naszą Firmą i Klientem. Jeżeli nie jesteście Państwo jej adresatem informujemy, że otrzymali ją Państwo omyłkowo oraz, że przeglądanie, rozpowszechnianie lub kopiowanie jest zabronione. W przypadku omyłkowego otrzymania niniejszej wiadomości, prosimy o niezwłoczne powiadomienie o tym nadawcy i wykasowanie oryginału. / This message may contain a confidential and privileged our Company and Client communication. If you are not the intended recipient, you are hereby notified that you have received this message in error - any review, distribution or copying of this message is strictly prohibited. If you have received this message in error, please notify the sender immediately and delete the original.