7.7. 監査ログファイルの検索
ausearch ユーティリティーを使用すると、Audit ログファイルで特定のイベントを検索できます。デフォルトでは、ausearch は
/var/log/audit/audit.log ファイルを検索します。ausearch options -if file_name コマンドを使用して、別のファイルを指定できます。1 つの ausearch コマンドで複数のオプションを指定することは、AND 演算子の使用と同じです。
例7.6 を使用 ausearch した Audit ログファイルの検索
/var/log/audit/audit.log ファイルで失敗したログイン試行を検索するには、以下のコマンドを使用します。
~]# ausearch --message USER_LOGIN --success no --interpret
アカウント、グループ、およびロールの変更をすべて検索するには、以下のコマンドを使用します。
~]# ausearch -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i
ユーザーのログイン ID(
auid)を使用して、特定ユーザーが実行したログに記録されたすべてのアクションを検索するには、以下のコマンドを使用します。
~]# ausearch -ua 500 -i
最大からこれまでに障害が発生したシステムコールをすべて検索するには、以下のコマンドを使用します。
~]# ausearch --start yesterday --end now -m SYSCALL -sv no -i
すべての ausearch オプションの全一覧については、を参照してください。 ausearch(8) の man ページ。
