Thanks for the responses so far<br><br>On Tuesday, October 4, 2016, William Roberts <<a href="mailto:bill.c.roberts@gmail.com">bill.c.roberts@gmail.com</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">You don't always need local access, I look at a lot of logs from systems I don't<br>
have access too, and I just decode them using python. I use the snippet<br>
from here to do it:<br>
<a href="http://stackoverflow.com/questions/9641440/convert-from-ascii-string-encoded-in-hex-to-plain-ascii" target="_blank">http://stackoverflow.com/<wbr>questions/9641440/convert-<wbr>from-ascii-string-encoded-in-<wbr>hex-to-plain-ascii</a><br>
<br>
It might not be ideal, I have simple needs. IIUC, ausearch also takes<br>
input from stdin, so you<br>
could cat raw log data you collected and use it on the other machine.<br>
I have some vague<br>
recollection of doing this years ago for Android, and it all worked as<br>
advertised.<br>
<br>
<br>
<br>
On Tue, Oct 4, 2016 at 10:00 AM, Steve Grubb <<a href="javascript:;" onclick="_e(event, 'cvml', 'sgrubb@redhat.com')">sgrubb@redhat.com</a>> wrote:<br>
> Hello,<br>
><br>
> On Tuesday, October 4, 2016 9:46:32 AM EDT Kevin Brown wrote:<br>
>> Is there an option within auditd to set whether commands are stored as hex<br>
>> vs ASCII?<br>
><br>
> No.<br>
><br>
>> With the prevalence of SIEM these days, seems easier to keep the commands<br>
>> as ASCII and not presume a person needs to have access to a local system to<br>
>> run ausearch.<br>
>><br>
>> Have gone through the documentation but didn't see an answer.<br>
><br>
> This is a design decision from way back around 2005. The problem is that a<br>
> user can control certain things. If they want to evade detection or throw off<br>
> naive analysis, then the can do log injection attacks by using spaces, legal<br>
> field names, and carriage returns in fields controlled by the user. Simple<br>
> parsers will be tricked.<br>
><br>
> There is some work currently going on wrt formatting output differently. In a<br>
> way I'd rather see some plugins created using libauparse that presents the<br>
> information to the siem in a format that it won't naively parse.<br>
><br>
> -Steve<br>
><br>
> --<br>
> Linux-audit mailing list<br>
> <a href="javascript:;" onclick="_e(event, 'cvml', 'Linux-audit@redhat.com')">Linux-audit@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/linux-audit" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/linux-audit</a><br>
<br>
<br>
<br>
--<br>
Respectfully,<br>
<br>
William C Roberts<br>
</blockquote>