使用 ausearch 命令可以搜索审计记录,必须以 root 用户身份执行 ausearch 命令。
语法格式:ausearch [参数]
常用参数:
-f | 基于文件名的搜索 |
-c | 基于命令行的搜索 |
-ui | 基于计算机名称的搜索 |
-p | 基于进程 id 的搜索 |
参考实例
基于 root 搜索审计记录:
[root@xtuos.com ~]# ausearch -ui 0
基于终端 tty1 搜索审计记录:
[root@xtuos.com ~]# ausearch -tm tty1
基于进程号 1799 搜索审计记录:
[root@xtuos.com ~]# ausearch -tm tty1