检索记录怎么写（ausearch命令 – 检索审计记录）

时间2025-06-13 02:46:57分类IT科技浏览4821

导读：ausearch命令来自英文词组“auditsearch”的缩写，其功能是用于检索审计记录。ausearch命令会基于审计文件（/var/log/audit/audit.log）进行信息检索，能够根据不同的事件或条件，如事件标识符、密钥标识符、CPU体系结构、命令名、主机名、组名、组ID、系统调用……等来检索日志，帮助运维人员更好...

ausearch命令来自英文词组“auditsearch ”的缩写，其功能是用于检索审计记录。ausearch命令会基于审计文件（/var/log/audit/audit.log）进行信息检索，能够根据不同的事件或条件，如事件标识符、密钥标识符、CPU体系结构、命令名、主机名、组名、组ID 、系统调用……等来检索日志，帮助运维人员更好地了解系统运行情况。

语法格式：ausearch [参数] [对象]

常用参数：

-a 基于事件ID搜索 -c 基于命令行搜索 -e 基于退出码搜索 -f 基于文件名搜索 -h 显示帮助信息 -k 基于关键词搜索 -l 刷新每一行的输出 -p 基于进程PID搜索 -v 显示版本信息 -w 基于字符串搜索 -ga 基于用户组ID搜索 -hn 基于主机名搜索 -tm 基于终端搜索 -ua 基于用户ID搜索 -ui 基于计算机名称搜索

参考示例

查看系统的审计记录：

[root@linuxcool ~]# ausearch -ui 0 ---- time->Sun Jan 22 10:58:45 2023 type=DAEMON_START msg=audit(1674356325.286:1175): op=start ver=3.0 format=enrich ed kernel=4.18.0-80.el8.x86_64 auid=4294967295 pid=933 uid=0 ses=4294967295 subj =system_u:system_r:auditd_t:s0 res=success ………………省略部分输出信息………………

指定系统终端名称，查看系统的审计记录：

[root@linuxcool ~]# ausearch -tm tty1 ---- time->Sun Jan 22 11:04:01 2023 type=USER_AUTH msg=audit(1674356641.103:67): pid=2077 uid=0 auid=4294967295 ses= 4294967295 subj=system_u:system_r:xdm_t:s0-s0:c0.c1023 msg=op=PAM:authenticatio n grantors=pam_permit acct="gdm" exe="/usr/libexec/gdm-session-worker" hostname= linuxcool.com addr=? terminal=/dev/tty1 res=success ………………省略部分输出信息………………

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。