Linux aureport命令

摘自：https://deepinout.com/linux-cmd/linux-audit-system-related-cmd/linux-cmd-aureport.html

Linux aureport命令：生成审计信息报表。

Linux aureport命令 功能描述

使用aureport命令可以生成审计信息的报表，必须以root用户执行aureport命令。如果执行aureport命令时没有使用任何选项，那么会显示汇总报表。

Linux aureport命令 语法

aureport [选项]

命令中各选项的含义如表所示。 

Linux aureport命令 示例

显示日志时间范围报表

[root@rhel ～]# aureport -t
Log Time Range Report
=====================
/var/log/audit/audit.log: 2013年08月19日 00:47:18.137-2013年08月19日 01:10:01.918

显示成功事件

[root@rhel ～]# aureport --success
Success Summary Report
======================
Range of time in logs: 2013年08月19日 00:47:18.137-2013年08月19日 01:10:01.918
Selected time for report: 2013年08月19日 00:47:18-2013年08月19日 01:10:01.918
Number of changes in configuration: 1
Number of changes to accounts, groups, or roles: 0
Number of logins: 2
Number of failed logins: 0
Number of authentications: 3
Number of failed authentications: 0
Number of users: 2
Number of terminals: 7
Number of host names: 2
Number of executables: 3
Number of files: 0
Number of AVC's: 0
Number of MAC events: 2
Number of failed syscalls: 0
Number of anomaly events: 0
Number of responses to anomaly events: 0
Number of crypto events: 7
Number of keys: 0
Number of process IDs: 9
Number of events: 50

显示失败事件

[root@rhel ～]# aureport --failed

生成9:00～18:00这段时间内的报表

[root@rhel ～]# aureport -ts 9:00-te 18:00-f

列出没有被成功访问的文件

 

[root@rhel ～]# aureport -f --failed --summary

产生来自日志文件/var/log/audit/audit.log的报表

[root@rhel ～]# aureport -if /var/log/audit/audit.log

显示关于配置更改的报表

[root@rhel ～]# aureport -c
Config Change Report
===================================
# date time type auid success event
===================================
1. 2013年08月19日 00:47:18 CONFIG_CHANGE -1 yes 40753

显示关于加密事件的报表

[root@rhel ～]# aureport -cr
Crypto Report
===================================
# date time auid type success event
===================================
1. 2013年08月19日 00:48:41-1 CRYPTO_KEY_USER yes 40762
2. 2013年08月19日 00:48:41-1 CRYPTO_KEY_USER yes 40763
3. 2013年08月19日 00:48:41-1 CRYPTO_SESSION yes 40764
4. 2013年08月19日 00:48:41-1 CRYPTO_SESSION yes 40765
5. 2013年08月19日 00:50:18-1 CRYPTO_KEY_USER yes 40776
6. 2013年08月19日 00:50:18 0 CRYPTO_KEY_USER yes 40784
7. 2013年08月19日 00:50:18 0 CRYPTO_KEY_USER yes 40785