ausearch 检索审计记录-小百科

ausearch命令来自英文词组“audit search”的缩写，其功能是用于检索审计记录。ausearch命令会基于审计文件（/var/log/audit/audit.log）进行信息检索，能够根据不同的事件或条件，如事件标识符、密钥标识符、CPU体系结构、命令名、主机名、组名、组ID、系统调用……等来检索日志，帮助运维人员更好地了解系统运行情况。

语法格式：ausearch [参数] [对象]

常用参数：

-a	基于事件ID搜索
-c	基于命令行搜索
-e	基于退出码搜索
-f	基于文件名搜索
-h	显示帮助信息
-k	基于关键词搜索
-l	刷新每一行的输出
-p	基于进程PID搜索
-v	显示版本信息
-w	基于字符串搜索
-ga	基于用户组ID搜索
-hn	基于主机名搜索
-tm	基于终端搜索
-ua	基于用户ID搜索
-ui	基于计算机名称搜索

参考示例

查看系统的审计记录：

$ ausearch -ui 0
----
time->Sun Jan 22 10:58:45 2023
type=DAEMON_START msg=audit(1674356325.286:1175): op=start ver=3.0 format=enrich
ed kernel=4.18.0-80.el8.x86_64 auid=4294967295 pid=933 uid=0 ses=4294967295 subj
=system_u:system_r:auditd_t:s0 res=success
………………省略部分输出信息………………
   
      指定系统终端名称，查看系统的审计记录：
   
   $ ausearch -tm tty1
----
time->Sun Jan 22 11:04:01 2023
type=USER_AUTH msg=audit(1674356641.103:67): pid=2077 uid=0 auid=4294967295 ses=
4294967295 subj=system_u:system_r:xdm_t:s0-s0:c0.c1023 msg='op=PAM:authenticatio
n grantors=pam_permit acct="gdm" exe="/usr/libexec/gdm-session-worker" hostname=
 addr=? terminal=/dev/tty1 res=success'
………………省略部分输出信息………………

ausearch 检索审计记录 繁體

ausearch 检索审计记录 ^繁體