ausearch命令 检索审计记录(auth命令)

ausearch命令来自英文词组“auditsearch”的缩写，其功能是用于检索审计记录。aus

推荐整理分享ausearch命令 检索审计记录(auth命令)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:命令检测,authentication命令,alternatives命令,命令检测,authentication命令,命令检测,authentication命令,authentication命令,内容如对您有帮助，希望把文章链接给更多的朋友！

ausearch命令来自英文词组“auditsearch”的缩写，其功能是用于检索审计记录。ausearch命令会基于审计文件（/var/log/audit/audit.log）进行信息检索，能够根据不同的事件或条件，如事件标识符、密钥标识符、CPU体系结构、命令名、主机名、组名、组ID、系统调用……等来检索日志，帮助运维人员更好地了解系统运行情况。

语法格式：ausearch [参数] [对象]

常用参数：

-a基于事件ID搜索-c基于命令行搜索-e基于退出码搜索-f基于文件名搜索-h显示帮助信息-k基于关键词搜索-l刷新每一行的输出-p基于进程PID搜索-v显示版本信息-w基于字符串搜索-ga基于用户组ID搜索-hn基于主机名搜索-tm基于终端搜索-ua基于用户ID搜索-ui基于计算机名称搜索

参考示例

查看系统的审计记录：

[root@linuxcool ~]# ausearch -ui 0----time->Sun Jan 22 10:58:45 2023type=DAEMON_START msg=audit(1674356325.286:1175): op=start ver=3.0 format=enriched kernel=4.18.0-80.el8.x86_64 auid=4294967295 pid=933 uid=0 ses=4294967295 subj=system_u:system_r:auditd_t:s0 res=success………………省略部分输出信息………………

指定系统终端名称，查看系统的审计记录：

[root@linuxcool ~]# ausearch -tm tty1----time->Sun Jan 22 11:04:01 2023type=USER_AUTH msg=audit(1674356641.103:67): pid=2077 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:xdm_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_permit acct="gdm" exe="/usr/libexec/gdm-session-worker" hostname=linuxcool.com addr=? terminal=/dev/tty1 res=success'………………省略部分输出信息………………与该功能相关的Linux命令：diffstat命令 显示统计数字mkfs.minix命令 建立Minix文件系统namei命令 列出一个路径中所有的成分getfattr命令 获取文件系统扩展属性信息grub-md5-crypt命令 对GRUB 的密码进行加密myisamchk命令 检查和修复MyISAM表mysqladmin命令 MySQL服务器客户端管理工具mren命令 更改文件或目录rpm2cpio命令 文件格式转换visudo命令 编辑/etc/sudoers文件