6.7. Audit ログファイルの検索

ausearch ユーティリティーを使うと、Audit ログファイル内で特定のイベントを検索できます。デフォルトでは、ausearch は /var/log/audit/audit.log ファイルを検索します。ausearch options -if file_name コマンドを使うと、別のファイルを指定できます。ausearch コマンドで複数のオプションを渡すと、フィールドタイプの間で AND 演算子を使用したり、同じフィールドタイプの複数のインスタンス間で OR を使用したりするのに相当します。

例6.7 ausearch を使用した Audit ログファイルの検索

失敗したログイン試行を /var/log/audit/audit.log ファイル内で検索するには、以下のコマンドを実行します。

~]# ausearch --message USER_LOGIN --success no --interpret

すべてのアカウント、グループ、役割変更を検索するには、以下のコマンドを実行します。

~]# ausearch -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i

特定のユーザーがそのユーザーのログイン ID (auid) を使って実行したログインのアクションをすべて検索するには、以下のコマンドを実行します。

~]# ausearch -ua 1000 -i

昨日から現在までに失敗したすべてのシステムコールを検索するには、以下のコマンドを実行します。

~]# ausearch --start yesterday --end now -m SYSCALL -sv no -i

すべての ausearch オプションの完全リストは、man ページの ausearch(8) を参照してください。

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Mobile

Services

Tools

Red Hat Insights

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

6.7. Audit ログファイルの検索