ausearchコマンドの使い方
Linux Auditシステムによって記録された監査ログを検索するコマンド。
構文
ausearch [options] [search_terms]オプション一覧
- -m: 指定したメッセージタイプ(例:SYSCALL, CONFIG_CHANGE)で絞り込む
- -sc: システムコール番号や名前(例:execve)でイベントを抽出する
- -k: auditルールで定義したキー名(key=)を指定して検索する
- -ts: 開始日時を指定してログを抽出する(例:-ts 2023-01-01 00:00:00)
- -u: ユーザーIDまたはユーザー名に基づいてイベントを検索する
- -f: 指定したパスまたはファイル名に関連するイベントを抽出する
- -i: 数値データ(UIDやシステムコール番号など)を人間が読みやすい名称に変換して出力する