Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.7. 監査ログファイルの検索

ausearch ユーティリティーを使用すると、特定のイベントの Audit ログファイルを検索できます。デフォルトでは、ausearch/var/log/audit/audit.log ファイルを検索します。ausearch のオプション -if file_name コマンドを使用して別のファイルを指定できます。1 つの ausearch コマンドで複数のオプションを指定しているのは、フィールドタイプと、同じフィールドタイプの複数のインスタンス間で AND 演算子を使用することと同じです。

例7.7 ausearch を使用した監査ログファイルの検索

/var/log/audit/audit.log ファイルで失敗したログイン試行を検索するには、以下のコマンドを使用します。
~]# ausearch --message USER_LOGIN --success no --interpret
すべてのアカウント、グループ、およびロールの変更を検索するには、次のコマンドを使用します。
~]# ausearch -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i
特定のユーザーが実行したすべてのログインアクションを検索するには、ユーザーのログイン ID(auid)を使用して、以下のコマンドを使用します。
~]# ausearch -ua 1000 -i
今日までに失敗したシステムコールをすべて検索するには、以下のコマンドを使用します。
~]# ausearch --start yesterday --end now -m SYSCALL -sv no -i
すべての ausearch オプションの一覧は、ausearch(8) の man ページを参照してください。