这里列出几个常用的选项:
-a number#只显示事件ID为指定数字的日志信息 , 如只显示926事件:ausearch -a 926
-ccommond#只显示和指定命令有关的事件,如只显示rm命令产生的事件:auserach-crm
-i#显示出的信息更清晰,如事件时间、相关用户名都会直接显示出来,而不再是数字形式
-k#显示出和之前auditctl -k所定义的关键词相匹配的事件信息
通过下图可以看到每个事件被虚线分开,用户名和执行的操作也都能清晰的看到了:
6、使用auditctl还可以查看和清空规则
查看源码
embed width="16" height="16" id="highlighter_638828_clipboard" type="application/x-shockwave-flash" title="复制到剪贴板" allowscriptaccess="always" wmode="transparent" flashvars="highlighterId=highlighter_638828" menu="false" src="" style="margin: 0px; padding: 0px; outline: 0px; zoom: 1; max-width: 96%;"
摘自
|1|auditctl -l 查看定义的规则|
|2|auditctl -D 清空定义的规则|
审计linux命令的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于审计指令、审计linux命令的信息别忘了在本站进行查找喔 。
推荐阅读
- 产品公众号文章排版软件,产品公众号文章排版软件下载
- thinkphpclone的简单介绍
- 怎么添加语言包安卓手机,安卓手机怎么添加语言键盘
- python多元函数回归 python 多元回归分析
- 爱建学校公众号关注,爱建学校是贵族学校吗
- 包含chatgpt4老师差的出来吗的词条
- 钉钉看直播怎么设置,钉钉直播怎么设置回放功能
- c语言中的sin函数 c语言中的sin函数如何使用?
- 会员四位数的java代码,会员四位数的java代码是什么