ausearch命令 – 检索审计记录
ausearch命令来自英文词组“audit search”的缩写,其功能是用于检索审计记录。ausearch命令会基于审计文件(/var/log/audit/audit.log)进行信息检索,能够根据不同的事件或条件,如事件标识符、密钥标识符、CPU体系结构、命令名、主机名、组名、组ID、系统调用……等来检索日志,帮助运维人员更好地了解系统运行情况。
语法格式:ausearch [参数] [对象]
常用参数:
| -a | 基于事件ID搜索 |
| -c | 基于命令行搜索 |
| -e | 基于退出码搜索 |
| -f | 基于文件名搜索 |
| -h | 显示帮助信息 |
| -k | 基于关键词搜索 |
| -l | 刷新每一行的输出 |
| -p | 基于进程PID搜索 |
| -v | 显示版本信息 |
| -w | 基于字符串搜索 |
| -ga | 基于用户组ID搜索 |
| -hn | 基于主机名搜索 |
| -tm | 基于终端搜索 |
| -ua | 基于用户ID搜索 |
| -ui | 基于计算机名称搜索 |
参考示例
查看系统的审计记录:
[root@linuxcool ~]# ausearch -ui 0 ---- time->Sun Jan 22 10:58:45 2023 type=DAEMON_START msg=audit(1674356325.286:1175): op=start ver=3.0 format=enrich ed kernel=4.18.0-80.el8.x86_64 auid=4294967295 pid=933 uid=0 ses=4294967295 subj =system_u:system_r:auditd_t:s0 res=success ………………省略部分输出信息………………
指定系统终端名称,查看系统的审计记录:
[root@linuxcool ~]# ausearch -tm tty1 ---- time->Sun Jan 22 11:04:01 2023 type=USER_AUTH msg=audit(1674356641.103:67): pid=2077 uid=0 auid=4294967295 ses= 4294967295 subj=system_u:system_r:xdm_t:s0-s0:c0.c1023 msg='op=PAM:authenticatio n grantors=pam_permit acct="gdm" exe="/usr/libexec/gdm-session-worker" hostname= linuxcool.com addr=? terminal=/dev/tty1 res=success' ………………省略部分输出信息………………
