SELinux系列(十五)—auditd日志使用方法详解
Posted LexSaints
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SELinux系列(十五)—auditd日志使用方法详解相关的知识,希望对你有一定的参考价值。
auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。
这个文件中记录的信息会非常多,如果手工查看,
则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。
[root@localhost ~]# ll -h /var/log/audit/audit.log
-rw-------.1 root root 386K 6月 5 15:53 /var/log/audit/audit.log而且我们这里的 Linux 只是实验用的虚拟机,
如果是真正的生产服务器,那么这个日志的大小将更加恐怖
(注意:audit.log 并没有自动加入 logrotate 日志轮替当中,需要手工让这个日志进行轮替)。
所以,如果我们手工查看这个日志,那么效率会非常低下。
还好,Linux 较为人性化,给我们准备了几个工具,
来帮助我们分析这个日志,下面分别来学习一下。
audit2why命令
audit2why 命令用来分析 audit.log 日志文件,
并分析 SELinux 为什么会拒绝进程的访问。
也就是说,这个命令显示的都是 SELinux 的拒绝访问信息,
而正确的信息会被忽略。命令的格式也非常简单,如下:
[root@localhost ~]# audit2why < 日志文件名例如:
[root@localhost ~]# au以上是关于SELinux系列(十五)—auditd日志使用方法详解的主要内容,如果未能解决你的问题,请参考以下文章