Почему `tail -f /var /audit /current | praudit` просто вывести 5 строк и сразу выйти?

Question

Я хочу следить за своим журналом аудита в реальном времени, чтобы я мог наблюдать за событиями и передавать его через praudit, чтобы сделать его читабельным для человека. Все команды ниже выполняются от имени пользователя root.

Когда я запускаю tail -f /var/audit/current | praudit просто печатает последние 5 строк и сразу же выходит. Принимая во внимание, что tail -f /var/audit/current | cat ждет и распечатывает необработанный журнал аудита, как он написан. В чем принципиальная разница между praudit и cat? Они оба утверждают, что читают со стандартного ввода, что они оба, кажется, делают, за исключением того, что praudit просто сдается, не ожидая EOF? Или что-то?

Хотелось бы знать, почему это так, и если есть способ получить поведение, которое я хочу каким-то образом, желательно без необходимости изменять praudit ...

Я на macOS 10.14.3

Answer 1

Вы сможете достичь того, что вам нужно, без дополнительных команд (то есть cat и praudit).

Просто введите tail -f /var/audit/current чтобы получить последние 10 строк и дождаться дальнейшего вывода.

EDIT1: Хорошо, я понимаю, почему вы хотите использовать Praudit. Сам не был знаком с этой командой.

РЕДАКТИРОВАТЬ 2: Попробуйте это:sudo praudit /dev/auditpipe

Каналы аудита клонируют псевдоустройства в файловой системе устройств, которые позволяют приложениям подключаться к потоку записей аудита. В первую очередь это представляет интерес для авторов приложений для обнаружения вторжений и мониторинга системы. Однако для администратора устройство канала аудита - это удобный способ разрешить мониторинг в реальном времени, не сталкиваясь с проблемами, связанными с владением файлом журнала аудита или ротацией журналов, прерывающей поток событий.