Hello everyone, There’s been this issue for me as long as I’ve dealt with Rsyslog and Auditd. Auditd generates multiple lines of logs for one event, Rsyslog sends all of those lines as separate logs, while in reality they’re one event. As seen below:
type=EXECVE msg=audit(1721647173.263:801222): argc=3 a0="/bin/sh" a1="/usr/bin/lsb_release" a2="-a" type=PATH msg=audit(1721647173.263:801222): item=2 name="/lib64/ld-linux-x86-64.so.2" inode=526767 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0OUID="root" OGID="root" type=PROCTITLE msg=audit(1721647173.263:801222): proctitle=2F62696E2F7368002F7573722F62696E2F6C73625F72656C65617365002D61 They all share same “msg=audit(1721647173.263:801222):" identifier part, but they start on newline. My question is if it would be possible to somehow combine these logs into one line before sending to a remote server/SIEM. If so how? Regards, Nukri Mazmishvili Security Operations Center Specialist Georgian Card JSC 106 Beliashvili str. Tbilisi 0159, Georgia Mob: (995 32) 2 317 040 (ext. 341) | E-mail: nmazmishv...@gc.ge<mailto:nmazmishv...@gc.ge> [Description: gc_logo R] ________________________________ წინამდებარე ელ. ფოსტის წერილი გამოგზავნილია სს ჯორჯიან ქარდიდან (საიდენტიფიკაციო ნომერი: 204396377; იურიდიული მისამართი: საქართველო, თბილისი, ბელიაშვილის ქ.106.) წინამდებარე წერილში, მათ შორის, მასზე თანდართულ ნებისმიერი დანართში, მოცემული ნებისმიერი ინფორმაცია/მონაცემი, წარმოადგენს კონფიდენციალურ ინფორმაციას. შესაბამისად, წინამდებარე წერილი და მასში მოცემული ნებისმიერი ინფორმაცია არ უნდა იქნეს გამჟღავნებული, გავრცელებული ან კოპირებული. სს ჯორჯიან ქარდი წარმოადგენს წინამდებარე წერილში მოცემული ტექსტების, გამოსახულებების, სურათების, ვიდეოებისა და სხვა ნებისმიერი შემადგენელი მონაცემების ინტელექტუალური საკუთრების მფლობელს ან/და ლიცენზიანტს საქართველოს კანონმდებლობითა და სხვა იურისდიქციებით დადგენილი წესების შესაბამისად. ამრიგად, წინამდებარე წერილის შემადგენლობის არასათანადო გამოყენება, მოდიფიცირება, რეპროდუქცია, კოპირება, ჩვენება ან გაზიარება მკაცრად არის აკრძალული და გამოიწვევს შესაბამის სამართლებრივ პასუხისმგებლობას. წინამდებარე წერილი განკუთვნილია იმ პირებისთვის, რომლებიც წარმოადგენენ ამ წერილის ადრესატებს. თუ თქვენ არ წარმოადგენთ ამ წერილის ადრესატს და ის შეცდომით მიიღეთ, გთხოვთ დაუყოვნებლივ აცნობოთ ამის თაობაზე წერილის გამგზავნს და ამის შემდეგ წაშალოთ ეს წერილი თქვენი სისტემიდან. თუ წერილში ან მის თანმდევ დოკუმენტში საპირისპირო პირდაპირ და ცხადად არ არის მითითებული, ეს წერილი არ წარმოადგენს რაიმე სახის ოფერტს, შეთავაზებას ან/და აქცეპტს ან რაიმე სახის სამართლებრივი ბოჭვის წარმომშობ დოკუმენტს, რომელიც მავალდებულებელი შეიძლება იყოს სს ჯორჯიან ქარდისთვის. სს ჯორჯიან ქარდი არ აგებს პასუხს ნებისმიერი სახის ზიანზე, რომელიც შეიძლება გამოწვეულ იქნეს წინამდებარე წერილის შემადგენლობით ან/და ნებისმიერ შედეგზე, რომელიც შეიძლება გამოწვეულ იქნეს ამ წერილში მოცემულ ინფორმაციაზე დაყრდნობით განხორციელებული ქმედებით. წინამდებარე წერილში მოცემული აზრები და შეხედულებები ეკუთვნის მის ავტორს და სავალდებულო წესით არ ასახავს სს ჯორჯიან ქარდის ოფიციალურ პოზიციას. This e-mail is sent from JSC Georgian Card (Identification Number: 204396377; Legal Address: 106, Beliashvili Street, Tbilisi, Georgia). The entire content of this e-mail, including any files attached hereto, is confidential. Therefore, this e-mail, or any information contained herein, should not be disclosed, disseminated or copied. JSC Georgian Card owns and/or licenses all copyrights to texts, images, photographs, videos and other content provided in this e-mail, to the full extent provided under the copyright laws of Georgia and other jurisdictions. Therefore unauthorized usage, modification, reproduction, copying, displaying or sharing any of the content provided in this e-mail is strictly prohibited and will incur legal liability and responsibility. This e-mail is intended for the person(s) to whom it is addressed. In case you are not the addressee of this e-mail, and you have received it in error, please immediately notify the sender by e-mail and afterwards delete this e-mail from your system. Unless the opposite is clearly and directly expressed in this e-mail or attachments thereto, this e-mail does not represent any kind of offer, acceptance or any other document which can be considered as expression of the will or intent to be bound into any kind of legal relationship by JSC Georgian Card. JSC Georgian Card accepts no liability for any damages caused by the content of this e-mail, and/or for the consequences of any actions taken in reliance on the information provided herein. The views and opinions included in this email belong to their author and do not necessarily represent the official position of JSC Georgian Card.
_______________________________________________ rsyslog mailing list https://lists.adiscon.net/mailman/listinfo/rsyslog http://www.rsyslog.com/professional-services/ What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
