Проект OpenNet: MAN ausearch (8) Команды системного администрирования (FreeBSD и Linux)

Интерактивная система просмотра системных руководств (man-ов)

ausearch (8)

>> ausearch (8) ( Русские man: Команды системного администрирования )

ausearch (8) ( Linux man: Команды системного администрирования )

ИМЯ

ausearch - поиск по журналу аудита

СИНТАКСИС

ausearch [опции]

ОПИСАНИЕ

Программа ausearch является инструментом поиска по журналу аудита. ausearch может также принимать данные со стандартного ввода (stdin) до тех пор, пока на входе будут необработанные данные логов. Все условия, указанные в параметрах, объединяются логическим И. К примеру, при указании -m и -ui в качестве параметров будут показаны события, соответствующие заданному типу и идентификатору пользователя.

Стоит отметить, что каждый системный вызов ядра из пользовательского пространства и возвращение данных в пользовательское пространство имеет один уникальный (для каждого системного вызова) идентификатор события.

Различные части ядра могут добавлять дополнительные записи. Например, в событие аудита для системного вызова "open" добавляется запись PATH с именем файла. ausearch показывает все записи события вместе. Это означает, что при запросе определенных записей результат может содержать записи SYSCALL.

Также помните, что не все типы записей содержат указанную информацию. Например, запись PATH не содержит имя узла или loginuid.

ОПЦИИ

-a, --event audit-event-id: Искать события с заданным идентификатором события. Сообщения обычно начинаются примерно так: msg=audit(1116360555.329:2401771). Идентификатор события - это число после ':'. Все события аудита, связанные с одним системным вызовом имеют одинаковый идентификатор.
-c, --comm comm-name: Искать события с заданным comm name. comm name - имя исполняемого файла задачи.
-f, --file file-name: Искать события с заданным именем файла.
-ga, --gid-all all-group-id: Искать события с заданным эффективным или обычным идентификатором группы.
-ge, --gid-effective effective-group-id: Искать события с заданным эффективным идентификатором группы или именем группы.
-gi, --gid group-id: Искать события с заданным идентификатором группы или именем группы.
-h, --help: Справка
-hn, --host host-name: Искать события с заданным именем узла. Имя узла может быть именем узла, полным доменным именем или цифровым сетевым адресом.
-i, --interpret: Транслировать числовые значения в текстовые. Например, идентификатор пользователя будет оттранслирован в имя пользователя. Трансляция выполняется c использованием данных с той машины, где запущен ausearch. Т.е. если вы переименовали учетные записи пользователей или не имеете таких же учетных записей на вашей машине, то вы можете получить результаты, вводящие в заблуждение.
-if, --input file-name: Использовать указанный файл вместо логов аудита. Это может быть полезно при анализе логов с другой машины или при анализе частично сохраненных логов.
-k, --key key-string: Искать события с заданным ключевым словом.
-m, --message message-type | comma-sep-message-type-list: Искать события с заданным типом. Вы можете указать список значений, разделенных запятыми. Можно указать несуществующий в событиях тип ALL, который позволяет получить все сообщения системы аудита. Список допустимых типов большой и будет показан, если указать эту опцию без значения. Тип сообщения может быть строкой или числом. В списке значений этого параметра в качестве разделителя используются запятые и пробелы недопустимы.
-o, --object SE-Linux-context-string: Искать события с заданным контекстом (объектом).
-p, --pid process-id: Искать события с заданным идентификатором процесса.
-pp, --ppid parent-process-id: Искать события с заданным идентификатором родительского процесса.
-r, --raw: Необработанный вывод. Используется для извлечения записей для дальнейшего анализа.
-sc, --success syscall-name-or-value: Искать события с заданным системным вызовом. Вы можете указать его номер или имя. Если вы указали имя, оно будет проверено на машине, где запущен ausearch.
-se, --context SE-Linux-context-string: Искать события с заданным контекстом SELinux (stcontext/subject или tcontext/object).
-su, --subject SE-Linux-context-string: Искать события с заданным контекстом SELinux - scontext (subject).
-sv, --success success-value: Искать события с заданным флагом успешного выполнения. Допустимые значения: yes (успешно) и no(неудачно).
-te, --end [end-date] [end-time]: Искать события, которые произошли раньше (или во время) указанной временной точки. Формат даты и времени зависит от ваших региональных настроек. Если дата не указана, то подразумевается текущий день ( today ). Если не указано время, то подразумевается текущий момент ( now ). Используйте 24-часовую нотацию времени, а не AM/PM. Например, дата может быть задана как 10/24/2005, а время - как 18:00:00.
Вы можете также использовать ключевые слова: now (сейчас), recent, today, yesterday, this-week, this-month, this-year. today означает первую секунду после полуночи текущего дня. recent - 10 минут назад. yesterday - первую секунду после полуночи предыдущего дня. this-week означает первую секунду после полуночи первого дня текущей недели, первый день недели определяется из ваших региональных настроек (см. localtime). this-month означает первую секунду после полуночи первого числа текущего месяца. this-year означает первую секунду после полуночи первого числа первого месяца текущего года.
-ts, --start [start-date] [start-time]: Искать события, которые произошли после (или во время) указанной временной точки. Формат даты и времени зависит от ваших региональных настроек. Если дата не указана, то подразумевается текущий день ( today ). Если не указано время, то подразумевается полночь ( midnight ). Используйте 24-часовую нотацию времени, а не AM/PM. Например, дата может быть задана как 10/24/2005, а время - как 18:00:00.
Вы можете также использовать ключевые слова: now (сейчас), recent, today, yesterday, this-week, this-month, this-year. today означает первую секунду после полуночи текущего дня. recent - 10 минут назад. yesterday - первую секунду после полуночи предыдущего дня. this-week означает первую секунду после полуночи первого дня текущей недели, первый день недели определяется из ваших региональных настроек (см. localtime). this-month означает первую секунду после полуночи первого числа текущего месяца. this-year означает первую секунду после полуночи первого числа первого месяца текущего года.
-tm, --terminal terminal: Искать события с заданным терминалом. Некоторые демоны (такие как cron и atd) используют имя демона как имя терминала.
-ua, --uid-all all-user-id: Искать события, у которых любой из идентификатора пользователя, эффективного идентификатора пользователя или loginuid (auid) совпадают с заданным идентификатором пользователя.
-ue, --uid-effective effective-user-id: Искать события с заданным эффективным идентификатором пользователя.
-ui, --uid user-id: Искать события с заданным идентификатором пользователя.
-ul, --loginuid login-id: Искать события с заданным идентификатором пользователя. Все программы, которые его используют, должны использовать pam_loginuid.
-v, --verbose: Показать версию и выйти
-w, --word: Совпадение с полным словом. Поддерживается для имени файла, имени узла, терминала и контекста SELinux.
-x, --executable executable: Искать события с заданным именем исполняемой программы.

СМ. ТАКЖЕ

auditd(8), pam_loginuid(8).

ПЕРЕВОД

Перевод с английского Николай Шафоростов <shafff@ukr.net> 2007

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру