We dealt with this by combining logs at our database backend.For instance with
a db that accepts upserts, the first record from auditd creates a record in the
dB. Subsequent records fill in the remaining fields matching on the msg
ID.That's the only way we found to handle it.
-------- Original message --------From: Nugzar Mazmishvili via rsyslog
<rsyslog@lists.adiscon.com> Date: 7/22/24 7:25 AM (GMT-05:00) To:
rsyslog@lists.adiscon.com Cc: Nugzar Mazmishvili <nmazmishv...@gc.ge> Subject:
[rsyslog] Combining AuditD logs using Rsyslog Hello everyone,There’s been this
issue for me as long as I’ve dealt with Rsyslog and Auditd. Auditd generates
multiple lines of logs for one event, Rsyslog sends all of those lines as
separate logs, while in reality they’re one event.As seen below:type=EXECVE
msg=audit(1721647173.263:801222): argc=3 a0="/bin/sh" a1="/usr/bin/lsb_release"
a2="-a"type=PATH msg=audit(1721647173.263:801222): item=2
name="/lib64/ld-linux-x86-64.so.2" inode=526767 dev=fd:00 mode=0100755 ouid=0
ogid=0 rdev=00:00 nametype=NORMAL cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0
cap_frootid=0OUID="root" OGID="root"type=PROCTITLE
msg=audit(1721647173.263:801222):
proctitle=2F62696E2F7368002F7573722F62696E2F6C73625F72656C65617365002D61They
all share same “msg=audit(1721647173.263:801222):" identifier part, but they
start on newline.My question is if it would be possible to somehow combine
these logs into one line before sending to a remote server/SIEM. If so
how?Regards,Nukri MazmishviliSecurity Operations Center SpecialistGeorgian Card
JSC106 Beliashvili str. Tbilisi 0159, GeorgiaMob: (995 32) 2 317 040 (ext. 341)
| E-mail: nmazmishv...@gc.ge<mailto:nmazmishv...@gc.ge>[Description: gc_logo
R]________________________________წინამდებარე ელ. ფოსტის წერილი გამოგზავნილია
სს ჯორჯიან ქარდიდან (საიდენტიფიკაციო ნომერი: 204396377; იურიდიული მისამართი:
საქართველო, თბილისი, ბელიაშვილის ქ.106.) წინამდებარე წერილში, მათ შორის, მასზე
თანდართულ ნებისმიერი დანართში, მოცემული ნებისმიერი ინფორმაცია/მონაცემი,
წარმოადგენს კონფიდენციალურ ინფორმაციას. შესაბამისად, წინამდებარე წერილი და
მასში მოცემული ნებისმიერი ინფორმაცია არ უნდა იქნეს გამჟღავნებული, გავრცელებული
ან კოპირებული. სს ჯორჯიან ქარდი წარმოადგენს წინამდებარე წერილში მოცემული
ტექსტების, გამოსახულებების, სურათების, ვიდეოებისა და სხვა ნებისმიერი
შემადგენელი მონაცემების ინტელექტუალური საკუთრების მფლობელს ან/და ლიცენზიანტს
საქართველოს კანონმდებლობითა და სხვა იურისდიქციებით დადგენილი წესების
შესაბამისად. ამრიგად, წინამდებარე წერილის შემადგენლობის არასათანადო გამოყენება,
მოდიფიცირება, რეპროდუქცია, კოპირება, ჩვენება ან გაზიარება მკაცრად არის
აკრძალული და გამოიწვევს შესაბამის სამართლებრივ პასუხისმგებლობას. წინამდებარე
წერილი განკუთვნილია იმ პირებისთვის, რომლებიც წარმოადგენენ ამ წერილის
ადრესატებს. თუ თქვენ არ წარმოადგენთ ამ წერილის ადრესატს და ის შეცდომით მიიღეთ,
გთხოვთ დაუყოვნებლივ აცნობოთ ამის თაობაზე წერილის გამგზავნს და ამის შემდეგ
წაშალოთ ეს წერილი თქვენი სისტემიდან. თუ წერილში ან მის თანმდევ დოკუმენტში
საპირისპირო პირდაპირ და ცხადად არ არის მითითებული, ეს წერილი არ წარმოადგენს
რაიმე სახის ოფერტს, შეთავაზებას ან/და აქცეპტს ან რაიმე სახის სამართლებრივი
ბოჭვის წარმომშობ დოკუმენტს, რომელიც მავალდებულებელი შეიძლება იყოს სს ჯორჯიან
ქარდისთვის. სს ჯორჯიან ქარდი არ აგებს პასუხს ნებისმიერი სახის ზიანზე, რომელიც
შეიძლება გამოწვეულ იქნეს წინამდებარე წერილის შემადგენლობით ან/და ნებისმიერ
შედეგზე, რომელიც შეიძლება გამოწვეულ იქნეს ამ წერილში მოცემულ ინფორმაციაზე
დაყრდნობით განხორციელებული ქმედებით. წინამდებარე წერილში მოცემული აზრები და
შეხედულებები ეკუთვნის მის ავტორს და სავალდებულო წესით არ ასახავს სს ჯორჯიან
ქარდის ოფიციალურ პოზიციას.This e-mail is sent from JSC Georgian Card
(Identification Number: 204396377; Legal Address: 106, Beliashvili Street,
Tbilisi, Georgia). The entire content of this e-mail, including any files
attached hereto, is confidential. Therefore, this e-mail, or any information
contained herein, should not be disclosed, disseminated or copied. JSC Georgian
Card owns and/or licenses all copyrights to texts, images, photographs, videos
and other content provided in this e-mail, to the full extent provided under
the copyright laws of Georgia and other jurisdictions. Therefore unauthorized
usage, modification, reproduction, copying, displaying or sharing any of the
content provided in this e-mail is strictly prohibited and will incur legal
liability and responsibility. This e-mail is intended for the person(s) to whom
it is addressed. In case you are not the addressee of this e-mail, and you have
received it in error, please immediately notify the sender by e-mail and
afterwards delete this e-mail from your system. Unless the opposite is clearly
and directly expressed in this e-mail or attachments thereto, this e-mail does
not represent any kind of offer, acceptance or any other document which can be
considered as expression of the will or intent to be bound into any kind of
legal relationship by JSC Georgian Card. JSC Georgian Card accepts no liability
for any damages caused by the content of this e-mail, and/or for the
consequences of any actions taken in reliance on the information provided
herein. The views and opinions included in this email belong to their author
and do not necessarily represent the official position of JSC Georgian Card.
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of
sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE
THAT.
