Unix-commands-ausearch

提供:Dev Guides
移動先:案内検索

ausearch-Unix、Linuxコマンド

link:/unix_commands/index [previous] link:/unix_commands/index [next] [[1]] php [AddThis Social Bookmark Button]

NAME

概要

  • ausearch * options

説明

*ausearch-m-ui*

また、ユーザー空間からカーネルお​​よびユーザー空間に戻る各syscallエクスカーションには、一意のイベントIDが1つあることに注意してください。 この旅行中にトリガーされた監査可能なイベントはすべて、このIDを共有するため、相互に関連付けられます。

カーネルのさまざまな部分に補足レコードが追加される場合があります。 たとえば、syscallの監査イベント "open"でも、カーネルはファイル名とともにPATHレコードを発行します。 ausearchユーティリティは、1つのイベントを構成するすべてのレコードを一緒に表示します。 これは、特定の種類のレコードを検索しても、結果のイベントにSYSCALLレコードが含まれることがあることを意味します。

また、すべてのレコードタイプに要求された情報があるわけではないことに注意してください。 たとえば、PATHレコードにはホスト名もloginuidもありません。

オプション

Tag

説明 

*-a* 、*-event * _audit-event-id_

指定された_event ID_に基づいてイベントを検索します。 メッセージは常にmsg = audit(1116360555.329:2401771)のようなもので始まります。 イベントIDは、「:」の後の数字です。 1つのアプリケーションのシステムコールから記録されるすべての監査イベントは、同じ監査イベントIDを持ちます。 同じアプリケーションによって作成された2番目のsyscallは、異なるイベントIDを持ちます。 このように、彼らはユニークです。 

*-c* 、*-comm * _comm-name_

指定された_comm名_に基づいてイベントを検索します。 コミュニケーション名は、タスク構造からの実行可能ファイルの名前です。

  • -e、 --exit * exit-code-or-errno

指定されたsyscall _exitコードまたはerrno_に基づいてイベントを検索します。 

*-f* 、*-file * _file-name_

指定された_filename_に基づいてイベントを検索します。 

*-ga* 、*-gid-all * _all-group-id_

有効なグループIDまたは特定の_group ID_に一致するグループIDを持つイベントを検索します。 

*-ge* 、*-gid-effective * _effective-group-id_

指定された_有効なグループID_またはグループ名を持つイベントを検索します。 

*-gi* 、*-gid * _group-id_

指定された_group ID_またはグループ名でイベントを検索します。 

*-h* 、*-help *

Help 

*-hn* 、*-host * _host-name_

指定された_ホスト名_でイベントを検索します。 ホスト名は、ホスト名、完全修飾ドメイン名、または数値ネットワークアドレスのいずれかです。 数値アドレスをドメイン名またはエイリアスに解決する試みは行われません。 

*-i* 、*-解釈*

数値エンティティをテキストに解釈します。 たとえば、uidはアカウント名に変換されます。 変換は、検索が実行されているマシンの現在のリソースを使用して行われます。 アカウントの名前を変更した場合、またはマシンに同じアカウントがない場合、誤解を招く結果が生じる可能性があります。 

*-if* 、*-input * _file-name_

ログの代わりに、指定された_file_を使用します。 これは、ログが別のマシンに移動されたか、ログの一部のみが保存された分析を支援するためです。

-入力ログ

auditd.confのログファイルの場所を検索の入力として使用します。 これは、cronジョブからausearchを使用している場合に必要です。

  • - 一つだけ*

検索条件に一致する最初のイベントを発行した後に停止します。 

*-k* 、*-key * _key-string_

指定された_key string_に基づいてイベントを検索します。 

*-l* 、*-line-buffered *

すべての行の出力をフラッシュします。 stdoutがパイプに接続され、デフォルトのブロックバッファリング戦略が望ましくない場合に最も役立ちます。 パフォーマンスが低下する可能性があります。 

*-m* 、*-message * _message-type_ | _comma-sep-message-type-list_

指定された_message type_に一致するイベントを検索します。 _カンマ区切りのメッセージタイプのリスト_を入力することもできます。 実際のログには存在しない ALL メッセージタイプがあります。 システム内のすべてのメッセージを取得できます。 有効なメッセージタイプのリストは長いです。 プログラムは、このパラメーターでメッセージタイプが渡されない場合は常にリストを表示します。 メッセージタイプは、テキストまたは数値のいずれかです。 リストを入力する場合、コンマのみを使用でき、リストを区切るスペースは使用できません。 

*-n* 、*-node * _node-name_

_node name_文字列から発生するイベントを検索します。 

*-o* 、*-object * _SE-Linux-context-string_

文字列に一致する_tcontext_(オブジェクト)でイベントを検索します。 

*-p* 、*-pid * _process-id_

指定された_プロセスID_に一致するイベントを検索します。 

*-pp* 、*-ppid * _parent-process-id_

指定された_親プロセスID_に一致するイベントを検索します。 

*-r* 、*-raw *

出力は完全にフォーマットされていません。 これは、監査ツールで解釈可能なレコードを抽出するのに役立ちます。 

*-sc* 、*-syscall * _syscall-name-or-value_

指定された_syscall_に一致するイベントを検索します。 数値のsyscall値またはsyscall名のいずれかを指定できます。 syscall名を指定すると、使用しているマシンのsyscallテーブルが使用されます。 

*-se* 、*-context * _SE-Linux-context-string_

文字列に一致する_scontext_/subjectまたは_tcontext_/objectでイベントを検索します。

-セッション Login-Session-ID

指定されたログインセッションIDと一致するイベントを検索します。 このプロセス属性は、ユーザーがログインするときに設定され、プロセスを特定のユーザーログインに関連付けることができます。 

*-su* 、*-subject * _SE-Linux-context-string_

文字列に一致する_scontext_(件名)でイベントを検索します。 

*-sv* 、*-success * _success-value_

指定された_成功値_に一致するイベントを検索します。 有効な値は yes および no です。 

*-te* 、*-end * [_end-date_] [_end-time_]

指定された終了時刻と同じかそれより前のタイムスタンプを持つイベントを検索します。 終了時間の形式は、ロケールによって異なります。 日付を省略すると、 today が想定されます。 時間を省略すると、 now が想定されます。 時刻を指定するには、AMまたはPMではなく24時間クロックを使用します。 日付の例は10/24/2005です。 時間の例は18:00:00です。

「今」、「最近」、「今日」、「昨日」、「今週」、「週前」、「今月」、「今年」などの単語を使用することもできます。 今日*は今から始めることを意味します。 *最近*は10分前です。 *昨日*は、前日の真夜中の1秒後です。 *This-week は、ロケールによって決定される曜日の0日の真夜中から1秒後に開始することを意味します( localtime を参照)。 *今月*は、月の1日の午前0時から1秒後を意味します。 *今年*は、最初の月の最初の日の真夜中から1秒後を意味します。 

*-ts* 、*-start * [_start-date_] [_start-time_]

指定された終了時刻以降のタイムスタンプを持つイベントを検索します。 終了時間の形式は、ロケールによって異なります。 日付を省略すると、 today が想定されます。 時間が省略された場合、 midnight と見なされます。 時刻を指定するには、AMまたはPMではなく24時間クロックを使用します。 日付の例は10/24/2005です。 時間の例は18:00:00です。

「今」、「最近」、「今日」、「昨日」、「今週」、「今月」、「今年」などの単語を使用することもできます。 今日*は、真夜中の1秒後に開始することを意味します。 *最近*は10分前です。 *昨日*は、前日の真夜中の1秒後です。 *This-week は、ロケールによって決定される曜日の0日の真夜中から1秒後に開始することを意味します( localtime を参照)。 *今月*は、月の1日の午前0時から1秒後を意味します。 *今年*は、最初の月の最初の日の真夜中から1秒後を意味します。 

*-tm* 、*-terminal * _terminal_

指定された_terminal_値に一致するイベントを検索します。 cronやatdなどの一部のデーモンは、端末のデーモン名を使用します。 

*-ua* 、*-uid-all * _all-user-id_

指定された_user ID_と一致するユーザーID、実効ユーザーID、またはログインユーザーID(auid)のいずれかでイベントを検索します。 

*-ue* 、*-uid-effective * _effective-user-id_

指定された_有効なユーザーID_でイベントを検索します。 

*-ui* 、*-uid * _user-id_

指定された_user ID_を持つイベントを検索します。 

*-ul* 、*-loginuid * _login-id_

指定された_loginユーザーID_でイベントを検索します。 pamifiedされたすべてのエントリポイントプログラムは、loginuid(auid)を正確に検索するためのセッションに必要なpam_loginuidで構成する必要があります。 

*-v* 、*-バージョン*

バージョンを印刷して終了する 

*-w* 、*-word *

文字列ベースの一致は、単語全体と一致する必要があります。 このカテゴリの一致には、ファイル名、ホスト名、端末、SE Linuxコンテキストが含まれます。 

*-x* 、*-executable * _executable_

指定された_executable_名に一致するイベントを検索します。

関連項目

  • リンク:/unix_commands/auditd [監査(8)]
  • リンク:/unix_commands/pam_loginuid [pam_loginuid(8)]

link:/unix_commands/index [previous] link:/unix_commands/index [next] link:/cgi-bin/printversion.cgi?tutorial = unix_commands&file = ausearch [Printer Friendly]

  
Advertisements
https://www.finddevguides.com/index.php?title=Unix-commands-ausearch&oldid=23654」から取得
Powered by MediaWiki