我正在尝试使用ausearch工具搜索我的审计日志针对特定条目。
问题是,审计日志似乎无法搜索。使用匹配参数进行搜索通常会返回<no matches>,即使日志中有匹配的条目。
例如,这里有一个示例条目来自/var/log/audit/audit.log:
type=SYSCALL msg=audit(1440053711.929:69343): arch=c000003e syscall=59 success=yes exit=0 a0=7f2abbb5d328 a1=7f2abbb5d1a0 a2=7f2abbb5d1c0 a3=7f2abb8199d0 items=0 ppid=16908 pid=16911 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="rm" exe="/bin/rm" key=(null)
输出如下sudo ausearch -a 69343:
user@host:~$ sudo ausearch -a 69343
<no matches>
如果指定了文件,也会发生同样的情况:
user@host:~$ sudo ausearch -a 69343 -if /var/log/audit/audit.log
<no matches>
这不仅限于以下-a参数:
user@host:~$ sudo ausearch -c rm
----
time->Sat Aug 22 11:09:50 2015
type=SERVICE_START msg=audit(1440266990.836:263): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
----
time->Sat Aug 22 16:52:40 2015
type=SERVICE_START msg=audit(1440287560.408:264): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
----
time->Sat Aug 22 18:42:12 2015
type=SERVICE_START msg=audit(1440294132.412:253): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
----
time->Mon Aug 24 15:13:21 2015
type=SERVICE_START msg=audit(1440454401.484:253): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
(请注意,所讨论的事件不在输出中。)
user@host:~$ sudo ausearch -m SYSCALL | grep 69343
user@host:~$ sudo ausearch -p 16911
<no matches>
user@host:~$ sudo ausearch -pp 16908
<no matches>
我究竟做错了什么?
编辑:原始输出ausearch也省略了上述条目:
user@host:~$ sudo ausearch -r -p 16911
user@host:~$