我正在尝试/var/log/audit/audit.log
在 centos7 上读取文件。我使用命令
sealert -a /var/log/audit/audit.log
在一台机器上运行良好,初始扫描需要 1 秒左右,但在另一台机器上扫描持续了大约 30 分钟,仍然处于 40% 状态。它无法通过ctrl-停止c。我也尝试过删除,audit.log
所以它几乎是空的,但没有加速。
这两台机器都是虚拟的,在同一台主机上运行
我发现很多警报都是由我的 apache 生成的,因此我使用以下命令禁用了 selinux
setenforce 0
并删除了旧audit.log.X
文件,但它的运行速度仍然一样慢(并且一直在变慢,所以可能永远无法完成),该sealert
进程永久使用一个核心,占用 25% 的 CPU 和 1GB 的 RAM。
还有其他方法可以从 cli 分析 selinux 日志文件吗?