RockyLinux ausearch命令详解（Linux审计日志搜索完整入门指南）

什么是 ausearch？

ausearch 是 Linux 审计系统（auditd）提供的一个命令行工具，用于从审计日志文件（通常是 /var/log/audit/audit.log）中搜索特定事件。通过它，你可以查找用户登录、文件访问、权限变更、系统调用等关键操作记录。

前提条件：确保 auditd 服务已启用

在使用 ausearch 之前，请确认你的 RockyLinux 系统已安装并启用了 auditd 服务：

# 安装 auditd（如果未安装）sudo dnf install audit -y# 启动并设置开机自启sudo systemctl enable --now auditd# 检查服务状态sudo systemctl status auditd  

ausearch 基础语法

基本命令格式如下：

ausearch [选项]  

常用 ausearch 使用示例

1. 搜索所有日志

ausearch -ts recent  

-ts recent 表示从最近开始搜索（默认显示最近 24 小时内的日志）。

2. 按用户 ID 搜索

# 搜索 UID 为 1000 的用户操作ausearch -ui 1000# 或者按用户名（需先转换为 UID）id usernameausearch -ui $(id -u username)  

3. 搜索特定文件的访问记录

ausearch -f /etc/passwd  

这会列出所有对 /etc/passwd 文件的操作记录，包括读取、修改等。

4. 按时间范围搜索

# 搜索今天 10:00 到 12:00 之间的日志ausearch -ts 10:00 -te 12:00# 搜索指定日期ausearch -ts 2024-06-01  

5. 搜索失败的系统调用

ausearch -m SYSCALL -sv no  

-m SYSCALL 表示只看系统调用事件，-sv no 表示仅显示失败（no）的操作。

高级技巧：结合 grep 过滤结果

由于 ausearch 输出可能很长，你可以用 grep 进一步筛选：

ausearch -f /etc/shadow | grep "type=SYSCALL"  

小贴士

• 审计日志默认保存在 /var/log/audit/audit.log，确保磁盘空间充足。
• 使用 ausearch -k 关键字 可以搜索带特定审计规则标签（key）的日志。
• 若日志太多，可使用 --input-logs 指定其他日志文件。

结语

掌握 RockyLinux ausearch命令 是提升系统安全监控能力的关键一步。通过本文的详细讲解，相信你已经能够熟练使用 ausearch 进行 Linux审计日志搜索。无论是排查异常登录、追踪文件篡改，还是满足合规要求，ausearch 都是你不可或缺的工具。

记住：安全始于日志，成于分析。定期检查审计日志，让你的 RockyLinux 系统更安全！