aureport 可以顯示文件的完整路徑嗎？

我將其拖尾auditd.log並將其輸送到ausearchthenaureport中，目的是獲得一個簡單的修改文件流：

tail -f /var/log/audit/audit.log | ausearch -k my_key | aureport -f --success -i

雖然aureport似乎可以完成關聯和組合多條記錄的工作，但它似乎沒有合併PATH為每個文件審計日誌的 2 行 - 例如，如果有人執行指定相對路徑（而不是絕對路徑）的命令，aureport則顯示就像是：

File Report
===============================================
# date time file syscall success exe auid event
===============================================
1. 13/01/18 21:45:44 myfile open yes /usr/bin/touch user 6229
2. 13/01/18 21:45:46 myfile open yes /usr/bin/touch user 6230

有什麼辦法可以aureport顯示完整路徑嗎？

您可以執行ausearch -k my-key --format textor ausearch -k delete --format csv，而無需通過管道連接到 aureport。您可以按開始-結束日期 ( --start --end)、uid ( --uid 123) 和結果 ( --success yes|no)進行過濾

引用自：https://unix.stackexchange.com/questions/416921