Linux aureport 命令

Linux命令是对Linux系统进行管理的命令。对于Linux系统来说,无论是中央处理器、内存、磁盘驱动器、键盘、鼠标,还是用户等都是文件,Linux系统管理的命令是它正常运行的核心,与之前的DOS命令类似。linux命令在系统中有两种类型:内置Shell命令和Linux命令。本文主要介绍Linux aureport 命令。

1、命令简介

使用aureport命令可以生成审计信息的报表,必须以root用户执行。如果执行aureport命令时没有使用任何选项,那么会显示汇总报表。

2、命令用法

aureport [options]

3、命令描述

aureport是一个生成审计系统日志摘要报告的工具。aureport实用程序还可以从stdin获取输入,只要输入是原始日志数据。报告顶部有一个列标签,以帮助解释各种字段。除主汇总报表外,所有报表都有审计事件号。随后,可以使用ausearch -a事件号来查找完整的事件。可能需要指定开始和停止时间,如果得到多个点击。aureport生成的报告可以用作更复杂分析的构建块。

4、命令选项

选项

说明

-au, --auth

 

关于身份验证尝试的报表

-a, --avc

关于avc消息报表

-c, --config

 

关于配置更改的报表

-cr, --crypto

 

加密事件的报表

-e, --event

 

关于事件的报表

-f, --file

关于文件的报表

--failed

 

在报表中只选择处理失败事件。

默认是成功事件和失败事件。

-h, --host

关于hosts的报表

-i, --interpret

 

将数字实体解释为文本。

例如,uid被转换为帐户名。

转换是使用正在运行搜索的机器的当前资源完成的。

如果重命名了帐户,

或者机器上没有相同的帐户,

可能会得到误导的结果。

-if, --input file

 

如果有日志,则使用给定的文件。

这是为了帮助分析日志被转移到另一台机器

或只保存了一部分日志。

--input-logs

 

使用auditd.conf中的日志文件位置作为分析的输入。

如果正在从cron作业中使用aureport,

则需要这样做。

-k, --key

审计规则密钥的报表

-l, --login

 

关于登录的报表

-m, --mods

账户变更的报表

-ma, --mac

MAC事件的报表

--node node-name

 

仅选择源自节点名称字符串的事件

以在报表中进行处理。

默认值是包含所有节点。

-p, --pid

关于进程的报表

-r, --response

 

对异常事件的响应的报表

-s, --syscall

 

系统调用的报表

--success

 

只选择报表中用于处理的成功事件。

默认是成功事件和失败事件。

--summary

 

运行提供主报表元素总数的摘要报表。

并不是所有的报表都有摘要。

-t, --log

此选项将输出每个日志的开始和结束时间的报表。

--tty

tty 按键的报表

-te, --end [end-date] [end-time]

 

搜索时间戳等于或先于给定结束时间的事件。

结束时间的格式取决于所在的地区。如果省略日期,

则假定为today。如果省略了时间,则假定为now。

使用24小时的时钟时间而不是AM或PM来指定时间。

例如日期是10/24/2005。例如,18:00:00。

也可以用这个词:now, recent, today, yesterday, 

this-week, this-month, this-year. today意味着从现在开始。

recent是10分钟前。yesterday是前一天午夜后1秒。

 this-week是指所在locale

决定的一周的第0天午夜后1秒开始。

this-month是这个月的第一天午夜之后的一秒。

this-year是第一个月的第一天午夜后的第1秒。

-tm, --terminal

 

关于终端的报表

-ts, --start [start-date] [start-time]

 

搜索时间戳等于或超过给定结束时间的事件。

结束时间的格式取决于您的地区。

如果省略日期,则假定为today。

如果省略时间,则假定为midnight。

使用24小时的时钟时间而不是AM或PM来指定时间。

例如日期是10/24/2005。例如,18:00:00。

也可以用这个词:now, recent, today, yesterday, t

his-week, this-month, this-year. 

today意味着从现在开始。

recent是10分钟前。yesterday是前一天午夜后1秒。 

this-week是指所在locale

决定的一周的第0天午夜后1秒开始。

this-month是这个月的第一天午夜之后的一秒。

this-year是第一个月的第一天午夜后的第1秒。

-u, --user

对用户的报表

-v, --version

 

打印版本并退出

-x, --executable

 

对可执行文件的报表

5、使用示例

显示日志时间的范围报表

[root@cjavapy ~]# aureport -t

Log Time Range Report
=====================
/var/log/audit/audit.log.4: 2019年07月21日 03:01:01.357 - 2020年01月26日 14:01:01.440
/var/log/audit/audit.log.3: 2020年01月26日 14:01:01.480 - 2020年06月25日 01:01:01.106
/var/log/audit/audit.log.2: 2020年06月25日 01:01:01.106 - 2020年12月25日 11:01:01.388
/var/log/audit/audit.log.1: 2020年12月25日 11:01:01.397 - 2021年07月05日 00:01:01.427
/var/log/audit/audit.log: 2021年07月05日 00:01:01.430 - 2021年11月11日 21:17:39.047

推荐阅读
cjavapy编程之路首页