Я пытаюсь использовать ausearch
инструмент поиск мой журналы auditd для конкретных записей.
Проблема в том, что большинство записей в audit.log кажутся неисследимыми. Поиск с совпадающими параметрами часто возвращает <no matches>
, даже если в журнале есть соответствующая запись.
Например, вот образец записи из /var/log/audit/audit.log
:
type=SYSCALL msg=audit(1440053711.929:69343): arch=c000003e syscall=59 success=yes exit=0 a0=7f2abbb5d328 a1=7f2abbb5d1a0 a2=7f2abbb5d1c0 a3=7f2abb8199d0 items=0 ppid=16908 pid=16911 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="rm" exe="/bin/rm" key=(null)
А вот результат sudo ausearch -a 69343
:
user@host:~$ sudo ausearch -a 69343
<no matches>
То же самое происходит, если файл указан:
user@host:~$ sudo ausearch -a 69343 -if /var/log/audit/audit.log
<no matches>
Это не ограничивается -a
параметр:
user@host:~$ sudo ausearch -c rm
----
time->Sat Aug 22 11:09:50 2015
type=SERVICE_START msg=audit(1440266990.836:263): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
----
time->Sat Aug 22 16:52:40 2015
type=SERVICE_START msg=audit(1440287560.408:264): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
----
time->Sat Aug 22 18:42:12 2015
type=SERVICE_START msg=audit(1440294132.412:253): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
----
time->Mon Aug 24 15:13:21 2015
type=SERVICE_START msg=audit(1440454401.484:253): pid=1 uid=0 auid=4294967295 ses=4294967295 msg=' comm="apparmor" exe="/lib/systemd/systemd" hostname=? addr=? terminal=? res=success'
(Обратите внимание, что рассматриваемого события нет в выходных данных.)
user@host:~$ sudo ausearch -m SYSCALL | grep 69343
user@host:~$ sudo ausearch -p 16911
<no matches>
user@host:~$ sudo ausearch -pp 16908
<no matches>
Что я делаю не так?
РЕДАКТИРОВАТЬ: Необработанный вывод ausearch
также не учитывает указанные записи:
user@host:~$ sudo ausearch -r -p 16911
user@host:~$