linux审计⽇志时间格式,linux审计⼯具auditd⽇志audit.log时间
戳转换查看
最近由于机房安全规范的要求,需要第三⽅软件进⾏系统安全审计,linux操作系统默认有登陆、定时任务等审计,要查看其⽇志的时候发现时间格式为unix时间戳格式,阅读起来很不⽅便,便想将其中的时间戳转换成为普通时间进⾏查看
⽹上普遍的做法为使⽤perl脚本在阅读时进⾏转换
cat time.pl
s/(1\d{9})/localtime($1)/e
然后使⽤管道命令进⾏转换
less,more,tail -f
less /var/log/audit/audit.log | perl -p time.pl
more /var/log/audit/audit.log | perl -p time.pl
tail -f /var/log/audit/audit.log | perl -p time.pl
使⽤这些命令来查看起来不太⽅便,不像vim查看的全⾯
于是就写了⼀个脚本将audit.log中的时间戳转换成普通时间写到新的⽂件中,以下为脚本代码
#!/bin/bash
FILE=/var/log/audit/audit.log
unix时间戳转换日期格式cat $FILE |while read LINE
do
Udate=`echo $LINE|awk -F'[(.]+' '{print $2}'`
#Udate=`echo $LINE|awk -F. '{print $1}' | awk -F'(' '{print $2}'`
Cdate=`date -d @$Udate`
echo $LINE|sed "s/[0-9]\{10\}/$Cdate/" >> read.audit.log
done
不过代码的执⾏效率有点低,在1核1G的虚拟机跑2W条记录⼤约需要2MIN
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论