方法一:通过创建额外的脚本实现 adutitd 日志时间格式的转换
1.1 创建用于 auditd 转换日志时间格式的脚本
# vim time_format_conversion.pl创建以下内容:
s/(1\d{9})/localtime($1)/e(补充:这里以创建名为 time_format_conversion.pl 的用于转换 auditd 日志时间格式的脚本为例)
1.2 转换 auditd 日志时间格式
# cat /var/log/audit/audit.log | perl -p time_format_conversion.pl或者:
# less /var/log/audit/audit.log | perl -p time_format_conversion.pl或者:
# more /var/log/audit/audit.log | perl -p time_format_conversion.pl或者:
# head /var/log/audit/audit.log | perl -p time_format_conversion.pl或者:
# tail /var/log/audit/audit.log | perl -p time_format_conversion.pl或者:
# tail -f /var/log/audit/audit.log | perl -p time_format_conversion.pl(补充:这里以使用名为 time_format_conversion.pl 的用于转换 auditd 日志时间格式的脚本为例)
方法二:使用 /usr/sbin/ausearch 命令实现 adutitd 日志时间格式的转换
# /usr/sbin/ausearch --start $(date +\%m/\%d/\%Y -d "-1 month") -i --input-logs | egrep "/sftp*[0-9a-zA-Z].*txt.*nametype=" | grep -v Log.txt | awk '{print $2,$3,$6}' | uniq(补充:这里以显示在 /sftp 目录下以 txt 结尾的文件的 auditd 日志为例)