审计linux命令 审计指令( 三 )


这里列出几个常用的选项:
-a number#只显示事件ID为指定数字的日志信息 , 如只显示926事件:ausearch -a 926
-ccommond#只显示和指定命令有关的事件,如只显示rm命令产生的事件:auserach-crm
-i#显示出的信息更清晰,如事件时间、相关用户名都会直接显示出来,而不再是数字形式
-k#显示出和之前auditctl -k所定义的关键词相匹配的事件信息
通过下图可以看到每个事件被虚线分开,用户名和执行的操作也都能清晰的看到了:
6、使用auditctl还可以查看和清空规则
查看源码
embed width="16" height="16" id="highlighter_638828_clipboard" type="application/x-shockwave-flash" title="复制到剪贴板" allowscriptaccess="always" wmode="transparent" flashvars="highlighterId=highlighter_638828" menu="false" src="" style="margin: 0px; padding: 0px; outline: 0px; zoom: 1; max-width: 96%;"
摘自
|1|auditctl -l 查看定义的规则|
|2|auditctl -D 清空定义的规则|
审计linux命令的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于审计指令、审计linux命令的信息别忘了在本站进行查找喔 。

推荐阅读