使用ausearch命令可以搜索审计记录,必须以root用户身份执行ausearch命令。
语法格式:ausearch [参数]
常用参数:
| -f | 基于文件名的搜索 |
| -c | 基于命令行的搜索 |
| -ui | 基于计算机名称的搜索 |
| -p | 基于进程id的搜索 |
参考实例
基于root搜索审计记录:
[root@xtuos.com ~]# ausearch -ui 0
基于终端tty1搜索审计记录:
[root@xtuos.com ~]# ausearch -tm tty1
基于进程号1799搜索审计记录:
[root@xtuos.com ~]# ausearch -tm tty1
