一、命令簡介
??ausearch 是 Linux 審計系統 (auditd) 中的一個實用工具,用于搜索審計日志中的事件。它是審計框架的重要組成部分,可以幫助系統管理員分析系統活動和安全事件。
二、使用示例
1、安裝ausearch命令
??Ubuntu系統安裝ausearch命令,安裝后啟動服務。
root@testserver:~# apt-get install auditd
??centos安裝后需要手動啟動服務。
root@testserver:~# dnf install audit
root@testserver:~# systemctl enable --now auditd
2、查看命令版本
root@testserver:~# ausearch --version
ausearch version 3.1.2
3、查看服務狀態
root@testserver:~# systemctl status auditd
4、搜索特定用戶的審計事件
ausearch -ui 1000 -i
5、搜索特定命令的審計事件
ausearch -c sshd -i
6、搜索特定文件的訪問記錄
ausearch -f /etc/passwd -i
7、搜索失敗的登錄嘗試
ausearch -m USER_LOGIN -sv no -i
)
)
