7.7. 搜索审计日志文件
ausearch 工具允许您为特定事件搜索审计日志文件。默认情况下,ausearch 搜索
/var/log/audit/audit.log
文件。您可以使用 ausearch options -if file_name 命令指定不同的文件。在一个 ausearch 命令中提供多个选项等同于在字段类型和相同字段类型的多个实例间使用 AND 运算符。
例 7.7. 使用 ausearch 搜索审计日志文件
要搜索
/var/log/audit/audit.log
文件以失败的登录尝试,请使用以下命令:
~]# ausearch --message USER_LOGIN --success no --interpret
要搜索所有帐户、组和角色更改,请使用以下命令:
~]# ausearch -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i
要使用用户的登录 ID (uid)搜索特定用户执行的所有日志记录操作,请使用以下命令:
~]# ausearch -ua 1000 -i
要在现在前从 yesterday 搜索所有失败的系统调用,请使用以下命令:
~]# ausearch --start yesterday --end now -m SYSCALL -sv no -i
有关所有 ausearch 选项的完整列表,请查看 ausearch(8) man page。