与ausearch和aureport一起分析RHEL系统上的审核日志。

审核系统附带ausearch命令，该命令是搜索审核日志的强大工具。

aureport是一种生成审核系统日志摘要报告的工具。

搜索和查看SELinux拒绝

有许多工具可用于查看SELinux拒绝，例如ausearch，aureport和sealert。

列出所有拒绝事项：

# ausearch -m avc

列出自系统启动以来的拒绝：

# ausearch -m avc --start boot

列出mysqld服务的拒绝：

# ausearch -m avc -c mysqld

生成报告

生成一个AVC对象摘要报告：

# aureport -a
Avc Object Summary Report
=================================
total  obj
=================================
1  system_u:object_r:unreserved_port_t:s0

为所有登录事件生成摘要报告：

# aureport -i --login --summary
Login Summary Report
============================
total  auid
============================
40  vince
24  root
20  alice
8  sandy
1  (unknown)

生成命令执行的可执行摘要报告：

# aureport -i --executable --summary
Executable Summary Report
=================================
total  file
=================================
2634  /usr/sbin/crond
2019  /usr/sbin/sshd
976  /usr/lib/systemd/systemd
539  /usr/sbin/xtables-multi
100  /usr/bin/kmod
96  /usr/sbin/ebtables-restore
45  /usr/bin/login
24  /usr/bin/su
21  /usr/lib/systemd/systemd-update-utmp
12  /usr/sbin/useradd
12  /usr/bin/passwd
7  /usr/sbin/groupadd
6  /usr/sbin/faillock
3  /usr/sbin/sshd;5cfab207 (deleted)
2  /usr/sbin/load_policy
2  /usr/bin/sudo
1  /usr/bin/python2.7
1  /usr/sbin/semanage

根据审核事件ID检索记录

查找上一个登录事件：

# aureport -i --login|tail -n1
93. 30/06/19 12:41:28 alice 10.11.1.10 /dev/pts/2 /usr/sbin/sshd yes 3197

检索有关上一次登录事件的更多信息：

# ausearch -i -a 3197
---
type=USER_LOGIN msg=audit(30/06/19 12:41:28.984:3197) : pid=8565 uid=root auid=alice ses=211 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login id=alice exe=/usr/sbin/sshd hostname=10.11.1.10 addr=10.11.1.10 terminal=/dev/pts/2 res=success'

以CSV格式导出记录：

# ausearch -a 3197 --format csv
NODE,EVENT,DATE,TIME,SERIAL_NUM,EVENT_KIND,SESSION,SUBJ_PRIME,SUBJ_SEC,SUBJ_KIND,ACTION,RESULT,OBJ_PRIME,OBJ_SEC,OBJ_KIND,HOW
,USER_LOGIN,30/06/19,12:41:28,3197,user-login,211,alice,,,logged-in,success,/dev/pts/2,,user-session,/usr/sbin/sshd