The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Интерактивная система просмотра системных руководств (man-ов)

 ТемаНаборКатегория 
 
 [Cписок руководств | Печать]

ausearch (8)
  • >> ausearch (8) ( Русские man: Команды системного администрирования )
  • ausearch (8) ( Linux man: Команды системного администрирования )
  •  

    ИМЯ

    ausearch - поиск по журналу аудита  

    СИНТАКСИС

    ausearch [опции]  

    ОПИСАНИЕ

    Программа ausearch является инструментом поиска по журналу аудита. ausearch может также принимать данные со стандартного ввода (stdin) до тех пор, пока на входе будут необработанные данные логов. Все условия, указанные в параметрах, объединяются логическим И. К примеру, при указании -m и -ui в качестве параметров будут показаны события, соответствующие заданному типу и идентификатору пользователя.

    Стоит отметить, что каждый системный вызов ядра из пользовательского пространства и возвращение данных в пользовательское пространство имеет один уникальный (для каждого системного вызова) идентификатор события.

    Различные части ядра могут добавлять дополнительные записи. Например, в событие аудита для системного вызова "open" добавляется запись PATH с именем файла. ausearch показывает все записи события вместе. Это означает, что при запросе определенных записей результат может содержать записи SYSCALL.

    Также помните, что не все типы записей содержат указанную информацию. Например, запись PATH не содержит имя узла или loginuid.

     

    ОПЦИИ

    -a--event audit-event-id
    Искать события с заданным идентификатором события. Сообщения обычно начинаются примерно так: msg=audit(1116360555.329:2401771). Идентификатор события - это число после ':'. Все события аудита, связанные с одним системным вызовом имеют одинаковый идентификатор.
    -c--comm comm-name
    Искать события с заданным comm name. comm name - имя исполняемого файла задачи.
    -f--file file-name
    Искать события с заданным именем файла.
    -ga--gid-all all-group-id
    Искать события с заданным эффективным или обычным идентификатором группы.
    -ge--gid-effective effective-group-id
    Искать события с заданным эффективным идентификатором группы или именем группы.
    -gi--gid group-id
    Искать события с заданным идентификатором группы или именем группы.
    -h--help
    Справка
    -hn--host host-name
    Искать события с заданным именем узла. Имя узла может быть именем узла, полным доменным именем или цифровым сетевым адресом.
    -i--interpret
    Транслировать числовые значения в текстовые. Например, идентификатор пользователя будет оттранслирован в имя пользователя. Трансляция выполняется c использованием данных с той машины, где запущен ausearch. Т.е. если вы переименовали учетные записи пользователей или не имеете таких же учетных записей на вашей машине, то вы можете получить результаты, вводящие в заблуждение.
    -if--input file-name
    Использовать указанный файл вместо логов аудита. Это может быть полезно при анализе логов с другой машины или при анализе частично сохраненных логов.
    -k--key key-string
    Искать события с заданным ключевым словом.
    -m--message message-type | comma-sep-message-type-list
    Искать события с заданным типом. Вы можете указать список значений, разделенных запятыми. Можно указать несуществующий в событиях тип ALL, который позволяет получить все сообщения системы аудита. Список допустимых типов большой и будет показан, если указать эту опцию без значения. Тип сообщения может быть строкой или числом. В списке значений этого параметра в качестве разделителя используются запятые и пробелы недопустимы.
    -o--object SE-Linux-context-string
    Искать события с заданным контекстом (объектом).
    -p--pid process-id
    Искать события с заданным идентификатором процесса.
    -pp--ppid parent-process-id
    Искать события с заданным идентификатором родительского процесса.
    -r--raw
    Необработанный вывод. Используется для извлечения записей для дальнейшего анализа.
    -sc--success syscall-name-or-value
    Искать события с заданным системным вызовом. Вы можете указать его номер или имя. Если вы указали имя, оно будет проверено на машине, где запущен ausearch.
    -se--context SE-Linux-context-string
    Искать события с заданным контекстом SELinux (stcontext/subject или tcontext/object).
    -su--subject SE-Linux-context-string
    Искать события с заданным контекстом SELinux - scontext (subject).
    -sv--success success-value
    Искать события с заданным флагом успешного выполнения. Допустимые значения: yes (успешно) и no(неудачно).
    -te--end [end-date] [end-time]
    Искать события, которые произошли раньше (или во время) указанной временной точки. Формат даты и времени зависит от ваших региональных настроек. Если дата не указана, то подразумевается текущий день ( today ). Если не указано время, то подразумевается текущий момент ( now ). Используйте 24-часовую нотацию времени, а не AM/PM. Например, дата может быть задана как 10/24/2005, а время - как 18:00:00.

    Вы можете также использовать ключевые слова: now (сейчас), recent, today, yesterday, this-week, this-month, this-year. today означает первую секунду после полуночи текущего дня. recent - 10 минут назад. yesterday - первую секунду после полуночи предыдущего дня. this-week означает первую секунду после полуночи первого дня текущей недели, первый день недели определяется из ваших региональных настроек (см. localtime). this-month означает первую секунду после полуночи первого числа текущего месяца. this-year означает первую секунду после полуночи первого числа первого месяца текущего года.

    -ts--start [start-date] [start-time]
    Искать события, которые произошли после (или во время) указанной временной точки. Формат даты и времени зависит от ваших региональных настроек. Если дата не указана, то подразумевается текущий день ( today ). Если не указано время, то подразумевается полночь ( midnight ). Используйте 24-часовую нотацию времени, а не AM/PM. Например, дата может быть задана как 10/24/2005, а время - как 18:00:00.

    Вы можете также использовать ключевые слова: now (сейчас), recent, today, yesterday, this-week, this-month, this-year. today означает первую секунду после полуночи текущего дня. recent - 10 минут назад. yesterday - первую секунду после полуночи предыдущего дня. this-week означает первую секунду после полуночи первого дня текущей недели, первый день недели определяется из ваших региональных настроек (см. localtime). this-month означает первую секунду после полуночи первого числа текущего месяца. this-year означает первую секунду после полуночи первого числа первого месяца текущего года.

    -tm--terminal terminal
    Искать события с заданным терминалом. Некоторые демоны (такие как cron и atd) используют имя демона как имя терминала.
    -ua--uid-all all-user-id
    Искать события, у которых любой из идентификатора пользователя, эффективного идентификатора пользователя или loginuid (auid) совпадают с заданным идентификатором пользователя.
    -ue--uid-effective effective-user-id
    Искать события с заданным эффективным идентификатором пользователя.
    -ui--uid user-id
    Искать события с заданным идентификатором пользователя.
    -ul--loginuid login-id
    Искать события с заданным идентификатором пользователя. Все программы, которые его используют, должны использовать pam_loginuid.
    -v--verbose
    Показать версию и выйти
    -w--word
    Совпадение с полным словом. Поддерживается для имени файла, имени узла, терминала и контекста SELinux.
    -x--executable executable
    Искать события с заданным именем исполняемой программы.

     

    СМ. ТАКЖЕ

    auditd(8), pam_loginuid(8).

     

    ПЕРЕВОД

    Перевод с английского Николай Шафоростов <shafff@ukr.net> 2007
     

    Index

    ИМЯ
    СИНТАКСИС
    ОПИСАНИЕ
    ОПЦИИ
    СМ. ТАКЖЕ
    ПЕРЕВОД


    Поиск по тексту MAN-ов: 




    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру