一、命令简介
ausearch 是 Linux 审计系统 (auditd) 中的一个实用工具,用于搜索审计日志中的事件。它是审计框架的重要组成部分,可以帮助系统管理员分析系统活动和安全事件。
二、使用示例
1、安装ausearch命令
Ubuntu系统安装ausearch命令,安装后启动服务。
root@testserver:~# apt-get install auditd
centos安装后需要手动启动服务。
root@testserver:~# dnf install audit
root@testserver:~# systemctl enable --now auditd
2、查看命令版本
root@testserver:~# ausearch --version
ausearch version 3.1.2
3、查看服务状态
root@testserver:~# systemctl status auditd
4、搜索特定用户的审计事件
ausearch -ui 1000 -i
5、搜索特定命令的审计事件
ausearch -c sshd -i
6、搜索特定文件的访问记录
ausearch -f /etc/passwd -i
7、搜索失败的登录尝试
ausearch -m USER_LOGIN -sv no -i
)
)
