5.8. 创建审核报告

aureport 实用程序允许您生成有关记录在审核日志文件中事件的总结和分栏式报告。默认情况下,查询在 /var/log/audit/ 目录中的所有 audit.log 文件来创建报告。您可以指定不同的文件来运行报告而不使用 aureport options -if file_name 命令。

例 5.7. 使用 aureport 来生成审核报告。

生成有关过去三天内不包括示例日在内的记录的事件,请使用以下命令:
~]# aureport --start 04/08/2013 00:00:00 --end 04/11/2013 00:00:00
生成所有可执行文件事件的一份报告,请使用以下命令:
~]# aureport -x
生成以上可执行文件事件的总结,请使用以下命令:
~]# aureport -x --summary
生成所有用户失败事件的总结报告,请使用以下命令:
~]# aureport -u --failed --summary -i
生成每个系统用户登录失败的总结报告,请使用以下命令:
~]# aureport --login --summary -i
通过 ausearch 查询搜索 用户 500 所有的文件访问事件生成一份报告,请使用以下命令:
~]# ausearch --start today --loginuid 500 --raw | aureport -f --summary
生成一份报告有关所有被查询的审核文件以及所包含事件的事件范围,使用以下命令:
~]# aureport -t
列出所有的 aureport 选项,请参考 aureport(8) 手册页。