在检查 的网络活动日志时audit,我想排除一些我知道的程序,例如firefox。
ausearch -x firefox -i
调出所有与 Firefox 相关的连接。但常见的非运算符似乎失败了:
ausearch -x=!fire
ausearch -x \!fire
ausearch -x ^[fire]
如何不是ausearch匹配?中的字符串
注意:这不是定义排除程序的日志记录规则,而只是过滤日志本身。
答案1
awk使用(GNU 版本)的可能解决方法。利用ausearch带有 的分隔块----。
#!/bin/bash
ausearch -i | awk 'BEGIN { RS="----" } ; !/firefox/'