Etwas verspätet zur Party, aber falls es dir oder anderen beim Suchen trotzdem hilft...
Linux-Audit-Logs sind eigentlich nicht dazu gedacht, direkt in der rohen Log-Datei eingesehen zu werden – sie sind dazu gedacht, mit Tools wie „ausearch“ und „aureport“ betrachtet und analysiert zu werden. Viele Dinge (einschließlich sogar Zeit-/Datumsstempel) werden im Hex-Format gespeichert, aber Sie können asearch anweisen, das Hex-Zeug zu interpretieren, sowie UIDs/GIDs in Namen zu übersetzen, indem Sie die Option "-i" verwenden. Standardmäßig verwendet aussearch die Datei „/var/log/audit/audit.log“, aber Sie können auch eine bestimmte Datei mit der Option „-if filename“ anzeigen. Als Beispiel habe ich Ihre spezifischen Zeilen ausgeschnitten und in eine temporäre Datei eingefügt und die folgenden Ergebnisse erhalten:
$ ausearch -if temp_audit.log -i
----
type=EXECVE msg=audit(03/03/2015 18:56:05.480:57967) : argc=3 a0=bash a1=-c a2=ls /etc/init.d | grep -E '[0-9a-z]{10}' | awk '{print $1}' | xargs killall
----
type=EXECVE msg=audit(03/04/2015 18:06:02.928:72792) : argc=3 a0=bash a1=-c a2=killall 777 httpd
----
type=EXECVE msg=audit(03/04/2015 18:06:06.832:72800) : argc=3 a0=bash a1=-c a2=rm -f /tmp/httpd*
----
type=EXECVE msg=audit(03/04/2015 18:06:06.832:72801) : argc=3 a0=rm a1=-f a2=/tmp/httpd*
Mit auditd Es kodiert lange Argumente in HEX und kann auf verschiedene Arten dekodiert werden, eine davon ist mit xxd .
echo 6C73202F6574632F696E69742E64207C2067726570202D4520275B302D39612D7A5D7B31307D27207C2061776B20277B7072696E742024317D27207C207861726773206B696C6C616C6C | xxd -r -p
ls /etc/init.d | grep -E '[0-9a-z]{10}' | awk '{print $1}' | xargs killall