Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.7. 搜索 Audit 日志文件

ausearch 实用程序允许您搜索 Audit 日志文件特定事件。默认情况下,ausearch 搜索 /var/log/audit/audit.log 文件。您可以使用 ausearch 选项 -if file_name 命令指定不同的文件。在一个 ausearch 命令中提供多个选项相当于在字段类型和相同字段类型的多个实例之间使用 AND 运算符

例 7.7. 使用 ausearch 搜索审计日志文件

要搜索 /var/log/audit/audit.log 文件以查找失败的登录尝试,请使用以下命令:
~]# ausearch --message USER_LOGIN --success no --interpret
要搜索所有帐户、组和角色更改,请使用以下命令:
~]# ausearch -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i
要搜索特定用户执行的所有日志操作,请使用用户的登录 ID(auid),使用以下命令:
~]# ausearch -ua 1000 -i
要搜索直到现在为止所有失败的系统调用,请使用以下命令:
~]# ausearch --start yesterday --end now -m SYSCALL -sv no -i
有关所有 ausearch 选项的完整列表,请查看 ausearch(8) man page。