Show Table of Contents
5.7. 搜索审核日志文件
ausearch 实用程序允许您为特定事件搜索审核日志文件。默认情况下,ausearch 寻找
/var/log/audit/audit.log 文件。您可以使用 ausearch options -if file_name命令来详细说明不同的文件。在一个 ausearch 命令中提供多种选择等同于使用 AND 运算符。
例 5.6. 使用 ausearch 搜索审核日志文件
因登录失败而搜索
/var/log/audit/audit.log 文件,请使用以下命令。
~]# ausearch --message USER_LOGIN --success no --interpret
搜索所有的账户,群组,角色变更,请使用以下命令:
~]# ausearch -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i
搜索所有的由特定用户所执行的记录操作,使用用户的登录 ID(
auid),请使用以下命令:
~]# ausearch -au 500 -i
搜寻从昨天至今所有的失败的系统调用,请使用以下命令:
~]# ausearch --start yesterday --end now -m SYSCALL -sv no -i
列出所有
ausearch 选项,请参考 ausearch(8) 手册页。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.