Утилита ausearch#

Описание#

Утилита ausearch может выполнять поиск в журналах аудита на основе различных критериев. Данные для обработки могут приниматься не только из системных журналов, но и через стандартный поток ввода (stdin).

Синтаксис утилиты:

ausearch <options>

Где <options> - опции.

Опции#

Часто используемые опции утилиты представлены в таблице ниже.

Опции `ausearch`#
Опция	Описание
`-f`, `--file`	Ищет события с заданным именем файла
`-ga`, `--gid-all`	Ищет события с заданным эффективным или обычным идентификатором группы
`-gi`, `--gid`	Ищет события с заданным идентификатором группы или именем группы
`-i`, `--interpret`	Транслирует числовые значения в текстовые, когда это возможно. Например, идентификатор пользователя будет транслирован в имя пользователя
`-m`, `--message`	Ищет события с заданным типом. Можно задать список типов событий, разделяя их запятыми. Если тип событий не указан, будет выведен список этих типов. Если указать `ALL`, то будут выведены события всех типов
`-p`, `--pid`	Ищет события с заданным идентификатором процесса
`-sc`, `--syscall`	Ищет события с заданным системным вызовом. Можно указать номер или имя системного вызова
`-sv`, `--success`	Ищет события с заданным кодом завершения. Задать можно одно из двух значений: `yes` или `no`
`-te`, `--end`	Ищет события, которые произошли до заданного момента времени. Обычно используются шаблоны для даты `mm/dd/yyyy` и времени `hh:mm:ss`. Кроме них могут использоваться слова `now` - «сейчас»; `recent` - «десять минут назад»; `boot` - «за одну секунду до последней загрузки»; `today` - «первая секунда текущих суток»
`-ts`, `--start`	Ищет события, которые произошли после заданного момента времени. Значения опции аналогичны опции `--end`
`-ua`, `--uid-all`	Ищет события, у которых идентификатор пользователя, эффективный идентификатор пользователя или `loginuid` (`auid`) совпадают с заданным идентификатором пользователя
`-ui`, `--uid`	Ищет события с заданным идентификатором пользователя

Примеры использования#

Чтобы найти информацию о конкретном пользователе, используйте команду:
```
ausearch --start today --loginuid user1 -i
```
Будут выведены все найденные записи событий для пользователя user1, сгенерированные с начала текущих суток.
Чтобы найти все записи об отказах в журнале SElinux, сгенерированные с начала текущих суток, используйте команду:
```
ausearch --start today -m avc -i
```
Там, где это возможно, произойдет замена цифровых значений идентификаторов на соответствующие имена в каждой записи.

Дополнительная информация#

Дополнительную информацию можно получить, выполнив команды:

man 8 ausearch

Или:

ausearch --help