5.7. 搜索审核日志文件

ausearch 实用程序允许您为特定事件搜索审核日志文件。默认情况下,ausearch 寻找 /var/log/audit/audit.log 文件。您可以使用 ausearch options -if file_name命令来详细说明不同的文件。在一个 ausearch 命令中提供多种选择等同于使用 AND 运算符。

例 5.6. 使用 ausearch 搜索审核日志文件

因登录失败而搜索 /var/log/audit/audit.log 文件,请使用以下命令。
~]# ausearch --message USER_LOGIN --success no --interpret
搜索所有的账户,群组,角色变更,请使用以下命令:
~]# ausearch -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i
搜索所有的由特定用户所执行的记录操作,使用用户的登录 ID(auid),请使用以下命令:
~]# ausearch -au 500 -i
搜寻从昨天至今所有的失败的系统调用,请使用以下命令:
~]# ausearch --start yesterday --end now -m SYSCALL -sv no -i
列出所有 ausearch 选项,请参考 ausearch(8) 手册页。

为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。