Я пытаюсь читать по-человечески /var/log/audit/audit.log файл на centos7. Я пришел с командой
sealert -a /var/log/audit/audit.log
который отлично работает на одном компьютере, есть начальное сканирование, которое занимает секунду или около того, но на другом сканирование длится около 30 минут и все еще находится на 40%. Это не остановить ctrl-c. Я тоже пытался удалить audit.log так что он почти пустой, но ускорения не было.
Обе эти машины виртуальные и работают на одном хосте.
Я обнаружил, что мой apache сгенерировал много предупреждений, поэтому отключил selinux с помощью
setenforce 0
и удалил старые audit.log.X файлы, но он все еще такой же медленный (и продолжает замедляться, поэтому он может никогда не закончиться) sealert процесс постоянно использует одно ядро на 25% ЦП и 1 ГБ ОЗУ.
Есть ли другой способ проанализировать файлы журналов selinux из cli?