概述
ausearch 在审计日志文件(例如 `/var/log/audit/audit.log`)中查找满足特定条件的事件并输出。通过此工具,您可以有效地跟踪和分析系统中发生的重要的安全相关事件或用户活动。
主要功能
ausearch 提供的主要功能。
- 搜索特定用户或组的活动
- 跟踪文件和目录的访问更改
- 分析特定的系统调用(syscall)事件
- 按时间过滤审计日志
- 按消息类型(message type)查看事件
主要选项
ausearch 命令使用时的一些有用选项。
搜索条件
时间条件
输出格式
生成的命令:
请尝试组合命令。
描述:
`ausearch` 执行命令。
通过组合这些选项,您可以与 AI 一起虚拟地执行命令。
使用示例
使用 ausearch 命令的实际示例。
搜索特定用户(root)的所有活动
ausearch -ua root -i搜索 root 用户执行的所有审计事件,并将数字 ID 解析为名称进行输出。
搜索对特定文件(/etc/passwd)的访问尝试
ausearch -f /etc/passwd搜索对 /etc/passwd 文件进行的所有访问尝试事件。
搜索今天发生的所有系统调用(SYSCALL)事件
ausearch -ts today -m SYSCALL搜索从今天日期到当前时间发生的所有系统调用事件。
搜索登录失败事件
ausearch -m USER_LOGIN --success no -i搜索用户登录失败(消息类型为 USER_LOGIN 且 success=no)的事件。
搜索特定 PID 的所有审计事件
ausearch -p 12345搜索与指定进程 ID (PID) 相关的所有审计事件。
安装
ausearch 是 Linux 审计系统的一部分,大多数主流发行版都通过 'audit' 或 'auditd' 包提供。如果默认未安装,您可以使用以下命令进行安装。
Debian/Ubuntu
sudo apt-get update && sudo apt-get install auditd在 Debian 或 Ubuntu 系统上安装 auditd 包的命令。
RHEL/CentOS/Fedora
sudo yum install audit在 RHEL、CentOS 或 Fedora 系统上安装 audit 包的命令。
提示与注意事项
有效使用 ausearch 的技巧和注意事项。
性能优化
搜索大量日志时,缩小搜索范围非常重要。
- 指定时间范围: 始终使用 `-ts` 和 `-te` 选项明确指定要搜索的时间范围。
- 使用特定字段: 使用 `-m`, `-f`, `-ua`, `-ui` 等特定字段来减少不必要的日志扫描。
日志文件位置
了解默认审计日志文件的位置。
- 默认路径: 在大多数系统中,审计日志存储在 `/var/log/audit/audit.log`。
与 aureport 结合使用
您可以将 ausearch 过滤的结果通过管道传递给 aureport 来生成摘要报告。
- 示例: `ausearch -ts today -m SYSCALL | aureport -s` 命令将搜索今天发生的系统调用事件并以摘要报告的形式输出。