5.7. 搜索审核日志文件

ausearch 实用程序允许您为特定事件搜索审核日志文件。默认情况下,ausearch 寻找 /var/log/audit/audit.log 文件。您可以使用 ausearch options -if file_name命令来详细说明不同的文件。在一个 ausearch 命令中提供多种选择等同于使用 AND 运算符。

例 5.6. 使用 ausearch 搜索审核日志文件

因登录失败而搜索 /var/log/audit/audit.log 文件,请使用以下命令。
~]# ausearch --message USER_LOGIN --success no --interpret
搜索所有的账户,群组,角色变更,请使用以下命令:
~]# ausearch -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i
搜索所有的由特定用户所执行的记录操作,使用用户的登录 ID(auid),请使用以下命令:
~]# ausearch -au 500 -i
搜寻从昨天至今所有的失败的系统调用,请使用以下命令:
~]# ausearch --start yesterday --end now -m SYSCALL -sv no -i
列出所有 ausearch 选项,请参考 ausearch(8) 手册页。