linux 审计工具auditd日志audit.log时间戳转换查看
2013-07-25 09:55
330 查看
最近由于机房安全规范的要求,需要第三方软件进行系统安全审计,linux操作系统默认有登陆、定时任务等审计,要查看其日志的时候发现时间格式为unix时间戳格式,阅读起来很不方便,便想将其中的时间戳转换成为普通时间进行查看
网上普遍的做法为使用perl脚本在阅读时进行转换
cat time.pl
less,more,tail -f
于是就写了一个脚本将audit.log中的时间戳转换成普通时间写到新的文件中,以下为脚本代码
本文出自 “蓦然回首” 博客,请务必保留此出处http://leemon.blog.51cto.com/1903784/1256716
网上普遍的做法为使用perl脚本在阅读时进行转换
cat time.pl
s/(1\d{9})/localtime($1)/e然后使用管道命令进行转换
less,more,tail -f
less /var/log/audit/audit.log | perl -p time.pl more /var/log/audit/audit.log | perl -p time.pl tail -f /var/log/audit/audit.log | perl -p time.pl使用这些命令来查看起来不太方便,不像vim查看的全面
于是就写了一个脚本将audit.log中的时间戳转换成普通时间写到新的文件中,以下为脚本代码
#!/bin/bash FILE=/var/log/audit/audit.log cat $FILE |while read LINE do Udate=`echo $LINE|awk -F'[(.]+' '{print $2}'` #Udate=`echo $LINE|awk -F. '{print $1}' | awk -F'(' '{print $2}'` Cdate=`date -d @$Udate` echo $LINE|sed "s/[0-9]\{10\}/$Cdate/" >> read.audit.log done不过代码的执行效率有点低,在1核1G的虚拟机跑2W条记录大约需要2MIN
本文出自 “蓦然回首” 博客,请务必保留此出处http://leemon.blog.51cto.com/1903784/1256716
相关文章推荐
- [Linux][2014-09-23] enca Linux下 文件编码 查看 转换 工具
- 使用 tuptime 工具查看 Linux 服务器系统的开机时间的历史和统计
- enca - 一个linux下面转换windows txt文件到linux下面可以查看txt的工具
- Linux查看文件编码格式及文件编码转换
- Linux查看系统开机时间
- linux时间校对工具adjtimex
- Linux中时间戳转换命令
- linux查看文件创建时间
- linux查看时间和修改时间
- 查看linux进程的确切启动时间
- Linux查看History记录加时间戳
- 查看/修改Linux时区和时间,更新系统时间
- Linux查看系统开机时间
- Linux下如何查看系统启动时间和运行时间
- 查看linux系统运行时长及重启时间
- Linux查看开机运行时间的多种方法
- 查看linux系统,服务,配置文件被修改的时间
- [Linux] 查看系统启动时间
- 查看linux服务器配置和TOP命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况。
- 嵌入式 linux 查看系统运行时间