5.8. Audit レポートの作成

aureport ユーティリティーを使うと、Audit ログファイルに記録されたイベントについてのサマリーとレポートが生成できます。デフォルトでは、レポート作成のために /var/log/audit/ 内のすべての audit.log ファイルがクエリーされます。aureport options -if file_name コマンドを使うと、レポート作成に別のファイルをクエリーするよう指定できます。

例5.8 aureport を使った Audit レポートの生成

今日を除いた過去 3 日間にログ記録されたイベントのレポートを生成するには、以下のコマンドを実行します。
~]# aureport --start 04/08/2013 00:00:00 --end 04/11/2013 00:00:00
実行可能ファイルのイベントすべてについてのレポートを生成するには、以下のコマンドを実行します。
~]# aureport -x
上記の実行可能ファイルのレポートのサマリーを生成するには、以下のコマンドを実行します。
~]# aureport -x --summary
全ユーザーの失敗したイベントのレポートサマリーを生成するには、以下のコマンドを実行します。
~]# aureport -u --failed --summary -i
システムユーザーごとのすべてのログイン試行失敗のレポートサマリーを生成するには、以下のコマンドを実行します。
~]# aureport --login --summary -i
ユーザー 1000 のすべてのファイルアクセスイベントを検索する ausearch クエリーからレポートを生成するには、以下のコマンドを実行します。
~]# ausearch --start today --loginuid 1000 --raw | aureport -f --summary
クエリーされたすべての Audit ファイルおよびそれらに含まれるイベントの時間帯についてのレポートを生成するには、以下のコマンドを実行します。
~]# aureport -t
For a full listing of all aureport options, refer to the aureport(8) man page.