Всем доброго дня, возникло желание почитать логи TCP коннектов для этого воспользовался советом из
Выполнил
auditctl -a exit,always -F arch=b64 -S connect -k MYCONNECT
изучаю лог /var/log/audit/audit.log
вижу строчки типа:
type=PATH msg=audit(1623640833.336:2292562): item=0 name=«/var/run/nscd/socket» nametype=UNKNOWN cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0 type=PROCTITLE msg=audit(1623640833.336:2292562): proctitle=«(genrules)» type=SYSCALL msg=audit(1623640833.336:2292563): arch=c000003e syscall=42 success=yes exit=0 a0=5 a1=7f8c2eba82a0 a2=6e a3=8 items=1 ppid=5092 pid=5094 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm=«audispd» exe=«/sbin/audispd» key=«MYCONNECT» type=SOCKADDR msg=audit(1623640833.336:2292563): saddr=01002F6465762F6C6F6700000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 type=CWD msg=audit(1623640833.336:2292563): cwd=«/»
где saddr я так понимаю это IP адрес но как его привести в нормальный вид?
Пробовал советы отсюда: https://unix.stackexchange.com/questions/102926/how-to-interpret-the-saddr-field-of-an-audit-log скрипт parse-audit-log.pl отсюда https://twiki.cern.ch/twiki/bin/view/LinuxSupport/IDSNetConnectionLogger ничего не помогает