特権昇格イベントの検索
「privilege_check」というキーが付与された、ユーザー認証や権限昇格関連のログを表示する。
実行コマンド
ausearch -m USER_AUTH -k privilege_check💡 利用シーン
sudoやsuコマンドがいつ実行されたかを監査したい場合。
💻 実行結果例
type=USER_AUTH msg=audit(1698220000.123:456): user pid=1234 uid=1000 exe="/usr/bin/sudo"...📝 実務メモ
事前にauditctlで特定のルールにキーを紐づけておく必要があります。
⚠️ 注意点
鍵(-k)を指定すると検索が高速化されます。