Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.7. 監査ログファイルの検索

ausearch ユーティリティーを使用すると、特定のイベントの Audit ログファイルを検索できます。デフォルトでは、ausearch は /var/log/audit/audit.log ファイルを検索します。ausearch のオプション -if file_name コマンドを使用して別のファイルを指定できます。1 つの ausearch コマンドで複数のオプションを指定しているのは、フィールドタイプと、同じフィールドタイプの複数のインスタンス間で AND 演算子を使用することと同じです。

例7.7 ausearch を使用した監査ログファイルの検索

/var/log/audit/audit.log ファイルで失敗したログイン試行を検索するには、以下のコマンドを使用します。

~]# ausearch --message USER_LOGIN --success no --interpret

すべてのアカウント、グループ、およびロールの変更を検索するには、次のコマンドを使用します。

~]# ausearch -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i

特定のユーザーが実行したすべてのログインアクションを検索するには、ユーザーのログイン ID(auid)を使用して、以下のコマンドを使用します。

~]# ausearch -ua 1000 -i

今日までに失敗したシステムコールをすべて検索するには、以下のコマンドを使用します。

~]# ausearch --start yesterday --end now -m SYSCALL -sv no -i

すべての ausearch オプションの一覧は、ausearch(8) の man ページを参照してください。

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

Red Hat Training

7.7. 監査ログファイルの検索