搜索

7.7. 搜索审计日志文件

download PDF
ausearch 工具允许您为特定事件搜索审计日志文件。默认情况下,ausearch 搜索 /var/log/audit/audit.log 文件。您可以使用 ausearch options -if file_name 命令指定不同的文件。在一个 ausearch 命令中提供多个选项等同于在字段类型和相同字段类型的多个实例间使用 AND 运算符。

例 7.7. 使用 ausearch 搜索审计日志文件

要搜索 /var/log/audit/audit.log 文件以失败的登录尝试,请使用以下命令:
~]# ausearch --message USER_LOGIN --success no --interpret
要搜索所有帐户、组和角色更改,请使用以下命令:
~]# ausearch -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i
要使用用户的登录 ID (uid)搜索特定用户执行的所有日志记录操作,请使用以下命令:
~]# ausearch -ua 1000 -i
要在现在前从 yesterday 搜索所有失败的系统调用,请使用以下命令:
~]# ausearch --start yesterday --end now -m SYSCALL -sv no -i
有关所有 ausearch 选项的完整列表,请查看 ausearch(8) man page。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.