我正在尝试使用ausearch工具search我的auditd日志中的特定条目。
问题是audit.log中的大部分条目看起来都是不可测的。 即使在日志中有匹配的条目,使用匹配参数进行search通常会返回<no matches> 。
例如,以下是来自/var/log/audit/audit.log的示例条目:
type=SYSCALL msg=audit(1440053711.929:69343): arch=c000003e syscall=59 success=yes exit=0 a0=7f2abbb5d328 a1=7f2abbb5d1a0 a2=7f2abbb5d1c0 a3=7f2abb8199d0 items=0 ppid=16908 pid=16911 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="rm" exe="/bin/rm" key=(null)
这里是sudo ausearch -a 69343的输出:
user@host:~$ sudo ausearch -a 69343 <no matches>
如果文件被指定,则会发生同
user@host:~$ sudo ausearch -a 69343 -if /var/log/audit/audit.log <no matches>
这不仅限于-a参数:
user@host:~$ sudo ausearch -c rm ---- time->Sat Aug 22 11:09:50 2015 type=SERVICE_START msg=audit(1440266990.836:263): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' ---- time->Sat Aug 22 16:52:40 2015 type=SERVICE_START msg=audit(1440287560.408:264): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' ---- time->Sat Aug 22 18:42:12 2015 type=SERVICE_START msg=audit(1440294132.412:253): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success' ---- time->Mon Aug 24 15:13:21 2015 type=SERVICE_START msg=audit(1440454401.484:253): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
(请注意,该事件不在输出中。)
user@host:~$ sudo ausearch -m SYSCALL | grep 69343 user@host:~$ sudo ausearch -p 16911 <no matches> user@host:~$ sudo ausearch -pp 16908 <no matches>
我究竟做错了什么?
编辑: ausearch的原始输出也留下说:
user@host:~$ sudo ausearch -r -p 16911 user@host:~$