试图让SELinux更stream畅,看起来像
sealert -l <local-id> 将是一个特别有用的方式来获得帮助login拒绝。
据我所知,本地ID曾经被logging到/var/log/messages 。 但在Fedora 23中,这成为journalctl的输出。
在journalctl的输出和/var/log/audit/audit.log ,我都看到类似的消息
type=AVC msg=audit(1450844231.007:161): avc: denied { getattr } for pid=840 comm="nginx" path="/home/web/fallback/index.html" dev="vda1" ino=1448751 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=file permissive=0
不包括本地ID。 本地ID必须从这些信息中导出,因为
sealert -a /var/log/audit/audit.log
分析完整的日志文件并生成本地ID。 但是,如果我只想了解一个事件的信息,那就很慢,很麻烦。
有没有简单的方法来find在Fedora 23下的日志拒绝的本地ID,或者同样简单的方法来获取audit.log特定日志项目的sealert消息,而无需通过长期输出来分析整个文件和troll?
非常感谢。