Утилита ausearch#
Утилита ausearch может выполнять поиск в журналах аудита на основе различных критериев. Данные для обработки могут приниматься не только из системных журналов, но и через стандартный поток ввода (stdin).
Синтаксис утилиты:
ausearch <options>
Где:
<options> - опции.
Часто используемые опции утилиты ausearch приведены в таблице.
Опция |
Описание |
|---|---|
|
Ищет события с заданным именем файла |
|
Ищет события с заданным эффективным или обычным идентификатором группы |
|
Ищет события с заданным идентификатором группы или именем группы |
|
Транслирует числовые значения в текстовые, когда это возможно. Например, идентификатор пользователя будет транслирован в имя пользователя |
|
Ищет события с заданным типом. Можно задать список типов событий, разделяя их запятыми. Если тип событий не указан, будет выведен список этих типов. Если указать |
|
Ищет события с заданным идентификатором процесса |
|
Ищет события с заданным системным вызовом. Можно указать номер или имя системного вызова |
|
Ищет события с заданным кодом завершения. Задать можно одно из двух значений: |
|
Ищет события, которые произошли до заданного момента времени. Обычно используются шаблоны для даты |
|
Ищет события, которые произошли после заданного момента времени. Значения опции аналогичны опции –end |
|
Ищет события, у которых идентификатор пользователя, эффективный идентификатор пользователя или loginuid (auid) совпадают с заданным идентификатором пользователя |
|
Ищет события с заданным идентификатором пользователя |
Примеры использования#
Чтобы найти информацию о конкретном пользователе, используйте команду:
ausearch --start today --loginuid user1 -iБудут выведены все найденные записи событий для пользователя
user1, сгенерированные с начала текущих суток.Чтобы найти все записи об отказах в журнале SElinux, сгенерированные с начала текущих суток, используйте команду:
ausearch --start today -m avc -iТам, где это возможно, произойдет замена цифровых значений идентификаторов на соответствующие имена в каждой записи.