7.8. 创建审计报告
aureport 工具允许您生成关于审计日志文件中记录的事件的摘要和列表报告。默认情况下,将查询
/var/log/audit/ 目录中的所有 audit.log 文件来创建报告。您可以使用 aureport options -if file_name 命令指定要针对运行报告的不同文件。
例 7.8. 使用 aureport 生成审计报告
要为过去 3 天(不包括当前 example 天)中的日志事件生成报告,请使用以下命令:
~]# aureport --start 04/08/2013 00:00:00 --end 04/11/2013 00:00:00
要生成所有可执行文件事件的报告,请使用以下命令:
~]# aureport -x
要生成上述可执行文件事件报告的摘要,请使用以下命令:
~]# aureport -x --summary
要为所有用户生成失败事件的摘要报告,请使用以下命令:
~]# aureport -u --failed --summary -i
要为每个系统用户生成所有失败的登录尝试的摘要报告,请使用以下命令:
~]# aureport --login --summary -i
要从 ausearch 查询生成报告,用于搜索用户 ID
1000 的所有文件访问事件,请使用以下命令:
~]# ausearch --start today --loginuid 1000 --raw | aureport -f --summary
要生成所有正在查询的审计文件的报告及其包含的事件范围,请使用以下命令:
~]# aureport -t
有关所有 aureport 选项的完整列表,请查看 aureport(8) man page。
