选项

描述

-a, --event audit-event-id

根据给定的事件ID搜索事件。

消息总是以msg=audit(1116360555.39:2401771)开头。

事件ID是':'后面的数字。

从一个应用程序的系统调用中，

记录的所有审计事件都具有相同的审计事件ID。

同一个应用程序进行的第二个系统调用将具有不同的事件ID。

-c, --comm comm-name

根据给定的comm-name搜索事件。

comm名是任务结构中可执行文件的名称。

-e, --exit exit-code-or-errno

基于给定的系统调用退出码或errno搜索事件。

-f, --file file-name

根据给定的文件名搜索事件。

-ga, --gid-all all-group-id

搜索具有有效group ID或group ID

与给定group ID匹配的事件。

-ge, --gid-effective effective-group-id

搜索具有给定有效group ID

或group Name的事件。

-gi, --gid group-id

搜索具有给定group ID或group Name的事件。

-h, --help

帮助

-hn, --host host-name

搜索具有给定主机名的事件。

主机名可以是主机名、

完全限定域名或数字网络地址。

没有尝试将数字地址解析为域名或别名。

-i, --interpret

将数字实体解释为文本。

例如，uid被转换为帐户名。

转换是使用正在运行搜索的机器的当前资源完成的。

如果重命名了帐户，或者机器上没有相同的帐户，

可能会得到误导的结果。

-if, --input file-name

使用给定的文件而不是日志。

这是为了帮助分析日志被转移到另一台机器

或只保存了一部分日志。

--input-logs

使用auditd.conf中的日志文件位置作为搜索输入。

如果正在从cron作业中使用ausearch，

则需要这样做。

--just-one

在发出符合搜索条件的第一个事件后停止。

-k, --key key-string

基于给定的key字符串搜索事件。

-l, --line-buffered

刷新每一行的输出。

当stdout连接到管道

且默认的块缓冲策略不可取时最有用。

可能会处以性能损失。

-m, --message message-type | comma-sep-message-type-list

搜索与给定消息类型匹配的事件。

还可以输入以逗号分隔的消息类型列表。

有一个ALL消息类型，

它在实际日志中不存在。

它允许获取系统中的所有消息。

有效消息类型的列表很长。

当没有传递此参数的消息类型时，

程序将显示该列表。

消息类型可以是文本或数字。

输入列表时，列表之间只能用逗号分隔，

不能用空格分隔。

-n, --node node-name

搜索源自节点名称字符串的事件。

-o, --object SE-Linux-context-string

搜索带有与字符串匹配的tcontext (object)的事件。

-p, --pid process-id

搜索与给定进程ID匹配的事件。

-pp, --ppid parent-process-id

搜索与给定父进程ID匹配的事件。

-r, --raw

输出完全没有格式化。

这对于提取仍然可以由审计工具解释的记录非常有用。

-sc, --syscall syscall-name-or-value

搜索与给定系统调用匹配的事件。

可以给出数字系统调用值或系统调用名。

如果指定了系统调用名称，

它将使用正在使用的机器的系统调用表。

-se, --context SE-Linux-context-string

搜索scontext/subject

或tcontext/object匹配字符串的事件。

--session Login-Session-ID

搜索与给定的登录会话ID匹配的事件。

此process属性是在用户登录时设置的，

可以将任何进程绑定到特定的用户登录。

-su, --subject SE-Linux-context-string

搜索事件与scontext(subject)匹配的字符串。

-sv, --success success-value

搜索与给定success值匹配的事件。

合法的值是 yes 和 no.

-te, --end [end-date] [end-time]

搜索时间戳等于或先于给定结束时间的事件。

结束时间的格式取决于地区。如果省略日期，

则假定为today。如果省略了时间，

则假定为now。

使用24小时的时钟时间而不是AM或PM来指定时间。

例如日期是10/24/2005。例如，18:00:00。

也可以用这个词:now, recent, today, yesterday, 

this-week, week-ago, this-month, this-year。

today是从现在开始。recent是10分钟前。

yesterday是前一天午夜后1秒。

this-week是指所在的locale决定的一周的第0天午夜后1秒开始。

this-month是这个月的第一天午夜之后的一秒。

this-year是第一个月的第一天午夜后的第1秒。

-ts, --start [start-date] [start-time]

搜索时间戳等于或超过给定结束时间的事件。

结束时间的格式取决于地区。如果省略日期，

则假定为today。如果省略时间，

则假定为midnight。

使用24小时的时钟时间而不是AM或PM来指定时间。

例如日期是10/24/2005。例如，18:00:00。

也可以用这个词:now, recent, today,

 yesterday, this-week, this-month, this-year。

today是从现在开始。recent是10分钟前。

yesterday是前一天午夜后1秒。

this-week是指所在locale

决定的一周的第0天午夜后1秒开始。

this-month是这个月的第一天午夜之后的一秒。

this-year是第一个月的第一天午夜后的第1秒。

-tm, --terminal terminal

搜索与给定的终端值匹配的事件。

一些守护进程(如cron和atd)对终端使用守护进程名称。

-ua, --uid-all all-user-id

搜索具有与给定user ID,匹配的user ID,

有效user ID,或登录user ID, (auid)的事件。

-ue, --uid-effective effective-user-id

搜索具有给定有效user ID的事件。

-ui, --uid user-id

搜索具有给定user ID的事件。

-ul, --loginuid login-id

搜索具有给定登录user ID的事件。

为了准确地搜索loginuid (auid)，

需要用会话所需的pam_loginuid

配置所有pam_loginuid的入口点程序。

-v, --version

打印版本并退出

-w, --word

基于字符串的匹配必须匹配整个单词。

这类匹配包括:文件名、主机名、

终端和SE Linux上下文。

-x, --executable executable

搜索与给定可执行名称匹配的事件。