使用ausearch命令可以搜索审计记录,必须以root用户身份执行ausearch命令。
语法格式:ausearch [参数]
常用参数:
-f | 基于文件名的搜索 |
-c | 基于命令行的搜索 |
-ui | 基于计算机名称的搜索 |
-p | 基于进程id的搜索 |
参考实例
基于root搜索审计记录:
[root@linuxcool ~]# ausearch -ui 0
基于终端tty1搜索审计记录:
[root@linuxcool ~]# ausearch -tm tty1
基于进程号1799搜索审计记录:
[root@linuxcool ~]# ausearch -tm tty1