Пытаясь разобраться в SELinux, похоже,
sealert -l <local-id>
будет особенно полезным способом получить помощь с зарегистрированными отказами.
Насколько я понимаю, раньше локальные идентификаторы регистрировались в /var/log/messages. Но в Fedora 23 это стало результатом journalctl.
Оба на выходе journalctl И в /var/log/audit/audit.log, Я вижу такие сообщения, как
type=AVC msg=audit(1450844231.007:161): avc: denied { getattr } for pid=840 comm="nginx" path="/home/web/fallback/index.html" dev="vda1" ino=1448751 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=file permissive=0
которые не включают локальный идентификатор. Локальный идентификатор должен быть получен из этой информации, потому что
sealert -a /var/log/audit/audit.log
анализирует полный файл журнала и генерирует локальные идентификаторы. Но это медленно и обременительно, когда мне нужна информация только по одному событию.
Есть ли какой-либо простой способ найти локальный идентификатор зарегистрированного отказа в Fedora 23 или такой же простой способ получить запечатанное сообщение для определенного элемента журнала в audit.log без необходимости анализировать весь файл и пролистывать длинный вывод?
Большое спасибо.