概述
ausearch 在審計日誌文件(例如 `/var/log/audit/audit.log`)中查找並輸出滿足特定條件的事件。此工具可讓您有效地跟踪和分析系統中發生的重要安全相關事件或用戶活動。
主要功能
ausearch 提供的主要功能。
- 搜索特定用戶或組的活動
- 跟踪文件和目錄訪問更改
- 分析特定的系統調用(syscall)事件
- 按時間過濾審計日誌
- 按消息類型查詢事件
主要選項
使用 ausearch 命令時的有用主要選項。
搜索條件
時間條件
輸出格式
生成的命令:
請試著組合命令。
這個 Django 應用程序是一個技術指南文檔,旨在為用戶輕鬆解釋 Linux 的各種命令。
`ausearch` 執行命令。
請將上述選項組合在一起,與 AI 一同虛擬執行命令。
使用範例
使用 ausearch 命令的實際範例。
搜索特定用戶(root)的所有活動
ausearch -ua root -i搜索 root 用戶執行的所有審計事件,並將數字 ID 解釋為名稱進行輸出。
搜索對特定文件(/etc/passwd)的訪問嘗試
ausearch -f /etc/passwd搜索對 /etc/passwd 文件進行的所有訪問嘗試事件。
搜索今天發生的所有系統調用(SYSCALL)事件
ausearch -ts today -m SYSCALL搜索從今天到現在發生的所有系統調用事件。
搜索登錄失敗事件
ausearch -m USER_LOGIN --success no -i搜索用戶登錄失敗(消息類型為 USER_LOGIN 且 success=no)的事件。
搜索特定 PID 的所有審計事件
ausearch -p 12345搜索與指定進程 ID (PID) 相關的所有審計事件。
安裝
ausearch 是 Linux 審計系統的一部分,大多數主要發行版都通過 'audit' 或 'auditd' 軟件包提供。如果尚未安裝,您可以使用以下命令進行安裝。
Debian/Ubuntu
sudo apt-get update && sudo apt-get install auditd在基於 Debian 或 Ubuntu 的系統上安裝 auditd 軟件包的命令。
RHEL/CentOS/Fedora
sudo yum install audit在基於 RHEL、CentOS 或 Fedora 的系統上安裝 audit 軟件包的命令。
提示與注意事項
有效使用 ausearch 的提示和注意事項。
性能優化
搜索大量日誌時,縮小搜索範圍非常重要。
- 指定時間範圍: 始終使用 `-ts` 和 `-te` 選項明確指定搜索的時間範圍。
- 使用特定字段: 使用 `-m`、`-f`、`-ua`、`-ui` 等特定字段,以減少不必要的日誌掃描。
日誌文件位置
了解默認審計日誌文件的位置。
- 默認路徑: 在大多數系統上,審計日誌存儲在 `/var/log/audit/audit.log`。
與 aureport 一起使用
您可以將 ausearch 過濾的結果通過管道傳遞給 aureport 以生成摘要報告。
- 範例: `ausearch -ts today -m SYSCALL | aureport -s` 命令搜索今天發生的系統調用事件並以摘要報告的形式輸出。