Linux系统之ausearch命令详解

最新推荐文章于 2025-04-14 20:36:22 发布
最新推荐文章于 2025-04-14 20:36:22 发布
阅读量365 收藏 3
点赞数 6
文章标签: linux 运维 服务器 ausearch ausearch命令详解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56303229/article/details/145968873
版权

ausearch 是 Linux 审计系统中的一个命令行工具,用于在审计日志中搜索特定类型的事件。它允许用户根据多种条件(如时间、UID、GID、系统调用、文件路径等)来过滤和检索审计记录。这对于安全审计、故障排查以及满足合规性要求非常有用。

基本语法

ausearch [选项]
常用选项
  • -m, --message TYPE: 根据消息类型(例如 USER_LOGIN, USER_LOGOUT, CONFIG_CHANGE 等)搜索事件。
  • -ts, --start [YYYY-MM-DD] [HH:MM:SS]: 指定开始时间,只返回该时间之后的事件。
  • -te, --end [YYYY-MM-DD] [HH:MM:SS]: 指定结束时间,只返回该时间之前的事件。
  • -sc, --syscall SYSCALL: 根据系统调用名称或编号搜索事件。
  • -f, --file FILENAME: 根据文件名搜索与之相关的所有事件。
  • -p, --pid PID: 根据进程 ID 查找事件。
  • -u, --uid UID: 根据用户 ID 查找事件。
  • -i, --interpret: 将 UID/GID 转换为对应的用户名/组名,使输出更加易读。
  • -k, --key KEYWORD: 根据审计规则中设置的关键词搜索事件。
  • -c, --comm COMM: 根据可执行文件名搜索事件。
  • -sv, --success VALUE: 过滤成功(yes)或失败(no)的事件。

示例

  1. 基于文件路径查找事件:
    如果想查看有关 /etc/passwd 文件的所有访问活动:

    sudo ausearch -f /etc/passwd

  2. 查找特定时间段内的事件:
    查看从 2025 年 3 月 1 日早上 9 点到当前的所有审计事件:

    sudo ausearch -ts 2025-03-01 09:00:00

    若要限定到具体的时间段,可以添加 -te 参数:

    sudo ausearch -ts 2025-03-01 09:00:00 -te 2025-03-01 17:00:00

  3. 基于系统调用查找事件:
    查找所有 execve 系统调用的事件:

    sudo ausearch -sc execve

  4. 基于用户 ID 查找事件:
    查找用户 ID 为 1000 的所有事件:

    sudo ausearch -u 1000

  5. 基于关键词查找事件:
    如果知道某些审计规则使用了特定的关键词(例如 “password_change”),可以通过以下命令查找这些事件:

    sudo ausearch -k password_change

  6. 提高输出的可读性:
    使用 -i 选项将 UID 和 GID 转换为用户名和组名,使得报告更容易理解:

    sudo ausearch -f /etc/shadow -i

  7. 查找成功的登录尝试:
    查找所有成功的用户登录尝试:

    sudo ausearch -m USER_AUTH -sv yes

  8. 查找特定程序的执行情况:
    查找所有运行 /usr/bin/sudo 的事件:

    sudo ausearch -c sudo

  9. 将 UID 和 GID 转换为用户名和组名

    sudo ausearch -ui 1000 -i
    • 搜索用户 ID 为 1000 的事件,并将 UID 和 GID 转换为用户名和组名。

  10. 指定审计日志文件

sudo ausearch -if /var/log/audit/audit.log.1
  • /var/log/audit/audit.log.1 文件中搜索事件。
门前灯
关注
《云计算》-安全策略-部署audit监控文件、文件发生任何变化即记录日志、通过手动和ausearch工具查看日志内容
weixin_46575696的博客
03-23 515
...
Linux系统之autrace命令详解
weixin_56303229的博客
03-08 1033
autrace 是 Linux 审计系统中的一个命令行工具,它用于追踪特定进程的所有系统调用和信号,类似于 strace,但通过审计框架来实现。autrace 可以提供详细的关于某个程序执行期间发生的系统调用的信息,这对于安全审计、故障排查以及了解应用程序的行为特别有用。
Linux ausearch 命令
weixin_42098295的博客
12-09 578
Linux命令是对Linux系统进行管理的命令。对于Linux系统来说,无论是中央处理器、内存、磁盘驱动器、键盘、鼠标,还是用户等都是文件,Linux系统管理的命令是它正常运行的核心,与之前的DOS命令类似。linux命令系统中有两种类型:内置Shell命令Linux命令。本文主要介绍Linux ausearch 命令。 原文地址:Linux ausearch 命令 ...
linux audit审计(8)--ausearch搜索audit日志文件
weixin_30262255的博客
04-18 1066
ausearch这个工具,可以针对指定的事件来搜索audit日志文件。默认情况下,ausearch搜索/var/log/audit/audit.log这个文件。 Theausearchutility allows you to search Audit log files for specific events. By default,ausearchsearches the/var/...
ausearch
yunweimao的博客
07-02 4618
这是许多新系统管理员提出的关键问题之一:如何审核文件事件,如读/写等?如何使用audit查看谁在Linux中更改了文件?答案是使用2.6内核的审计系统。现代Linux内核(2.6.x...
Linux 审计与日志安全工具 ausearch 与 aureport:审计日志查询与报告
02-18 1136
Linux 系统的安全管理中,审计日志扮演着至关重要的角色。通过审计日志,管理员可以追踪系统中的重要活动,确保系统的安全性和合规性。而在 Linux 审计框架(Audit Framework)中,`ausearch` 和 `aureport` 是两个非常强大的工具,分别用于查询审计日志和生成审计报告。本文将详细介绍这两个工具的功能与用法,帮助您更有效地管理和分析 Linux 审计日志。
linux审计日志存放路径,linux audit审计(8)--ausearch搜索audit日志文件
weixin_29324877的博客
05-02 916
shFlags简介看到有脚本中使用了shFlags,于是google了一下,发现还是个挺方便的东西. https://github.com/kward/shflags/wiki/Documentation12x sha ...(转)C#序列化和反序列化小例子网友关于序列化和反序列化的总结: ①序列化基本是指把一个对象保存到文件或流中,比如可以把文件序列化以保存到X...
Linux audit log分析工具---aureport、ausearch、autrace
weixin_30420305的博客
06-28 1384
一、概述 上一篇(理解Linux Audit Service.)我们主要解析了audit服务的结构,audit服务的配置以及如何阅读audit log各项所代表的意思。这一篇我们主要介绍如何利用audit提供的三个工具aureport、ausearch、autrace有针对性地去统计分析以及跟踪log日志。 二、aureport RAW类型的audit log会存放在/var...
Linux系统之auditctl命令详解
weixin_56303229的博客
03-05 686
auditctl 是 Linux 审计系统(Audit System)的一个命令行工具,用于控制系统审计的行为。它允许用户配置内核审计模块,控制哪些事件应该被记录、如何记录以及存储在什么地方等。通过 auditctl,可以定义详细的审计规则来监控文件访问、系统调用、网络活动等多种类型的系统行为,这对于安全审计和合规性检查非常有用。
Linux系统之aureport命令详解
weixin_56303229的博客
03-08 474
aureport 是 Linux 审计系统中的一个命令行工具,用于生成关于审计日志的报告。它可以从审计日志文件中提取信息,并以结构化的方式展示出来,便于管理员分析系统的安全状态和活动情况。通过 aureport,可以方便地查看不同类型的审计事件,如登录尝试、文件访问、权限更改等。
Linux系统之SELinux详解
weixin_56303229的博客
03-03 2249
SELinux(Security-Enhanced Linux)是由美国国家安全局(NSA)发起的一个项目,旨在为Linux操作系统提供一个强制访问控制(MAC, Mandatory Access Control)机制。它通过在内核中实施安全策略来增强系统的安全性,限制进程和用户只能执行那些被明确允许的操作。
Linux系统安全与容器化实战:从入侵防御到高性能部署
最新发布
资深全栈架构师,乐于在 CSDN 分享技术见解,与大家携手共进,共攀技术巅峰!
04-14 1415
点击关注,文末领取《Linux安全配置检查清单》+容器化部署脚本包!
Linux安全之auditd审计工具使用说明
月生的静心苑
11-28 9183
audit 我们可以使用auditctl临时配置规则,服务重启失效,如果需要配置永久生效,我们需要将规则写入到配置文件中。auditd审计规则分成三个部分,控制规则:这些规则用于更改审计系统本身的配置和设置。文件系统规则:这些是文件或目录监视。使用这些规则,我们可以审核对特定文件或目录的任何类型的访问。系统调用规则:这些规则用于监视由任何进程或特定用户进行的系统调用。使用 ausearch ,您可以过滤和搜索事件类型。它还可以通过将数值转换为更加直观的值(如系统调用或用户名)来解释事件。
4步教你学会使用Linux-Audit工具
华为云官方博客
08-18 3943
简单来讲audit是Linux上的审计工具,可以用来记录和监控对文件、目录、系统资源的更改;Audit无法直接增强系统的安全性,但是它可以用于发现违反系统安全政策的行为。
【安全】linux audit审计使用入门
wangluoanquan111的博客
03-22 2287
rules:审计规则,其中配置了审计系统需要审计的操作auditctl:用户态程序,用于审计规则配置和配置变更kaudit:内核空间程序,根据配置好的审计规则记录发生的事件auditd:用户态程序,通过netlink获取审计日志用户通过auditctl配置审计规则内核的kauditd程序获取到审计规则后,记录对应的审计日志用户态的auditd获取审计日志并写入日志文件。audit的主要应用场景是安全审计,通过对日志进行分析发现异常行为。
linux trace 进程,CentOS/RHEL如何使用autrace命令查看进程信息
weixin_39881958的博客
04-29 489
欢迎,来自IP地址为:125.123.66.221 的朋友本文将介绍如何使用autrace命令查看给定进程的详细信息,来跟踪进程的系统调用。什么是autraceautrace是一个进程在运行时一直运行的命令行工具,就像strace命令一样。它会将跟踪结果保存在/var/www/audit/audit.log文件中,为了使这个命令可以正常运行,你需要先将所有的跟踪规则删除。autrace命令的语法如...
CentOS7日志审计
热门推荐
ezbuy的博客
07-16 1万+
写在前面的话: 最近公司在做等保,其中有审计的内容,因为第一次接触,所以在此粘贴在网上查找的各种资料,以作记录. 目录 一、用户空间审计系统简介 二、auditd配置文件 三、配置审计规则 四、审计日志内容 五、使用ausearch搜索审计日志 六、使用aureport查看审计报告 一、用户空间审计系统简介 Linux 内核有用日志记录事件的能力,包括记录系统调用和文件访问。管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值