Linux aureport 命令

选项

说明

-au, --auth

关于身份验证尝试的报表

-a, --avc

关于avc消息报表

-c, --config

关于配置更改的报表

-cr, --crypto

加密事件的报表

-e, --event

关于事件的报表

-f, --file

关于文件的报表

--failed

在报表中只选择处理失败事件。

默认是成功事件和失败事件。

-h, --host

关于hosts的报表

-i, --interpret

将数字实体解释为文本。

例如，uid被转换为帐户名。

转换是使用正在运行搜索的机器的当前资源完成的。

如果重命名了帐户，

或者机器上没有相同的帐户，

可能会得到误导的结果。

-if, --input file

如果有日志，则使用给定的文件。

这是为了帮助分析日志被转移到另一台机器

或只保存了一部分日志。

--input-logs

使用auditd.conf中的日志文件位置作为分析的输入。

如果正在从cron作业中使用aureport，

则需要这样做。

-k, --key

审计规则密钥的报表

-l, --login

关于登录的报表

-m, --mods

账户变更的报表

-ma, --mac

MAC事件的报表

--node node-name

仅选择源自节点名称字符串的事件

以在报表中进行处理。

默认值是包含所有节点。

-p, --pid

关于进程的报表

-r, --response

对异常事件的响应的报表

-s, --syscall

系统调用的报表

--success

只选择报表中用于处理的成功事件。

默认是成功事件和失败事件。

--summary

运行提供主报表元素总数的摘要报表。

并不是所有的报表都有摘要。

-t, --log

此选项将输出每个日志的开始和结束时间的报表。

--tty

tty 按键的报表

-te, --end [end-date] [end-time]

搜索时间戳等于或先于给定结束时间的事件。

结束时间的格式取决于所在的地区。如果省略日期，

则假定为today。如果省略了时间，则假定为now。

使用24小时的时钟时间而不是AM或PM来指定时间。

例如日期是10/24/2005。例如，18:00:00。

也可以用这个词:now, recent, today, yesterday, 

this-week, this-month, this-year. today意味着从现在开始。

recent是10分钟前。yesterday是前一天午夜后1秒。

 this-week是指所在locale

决定的一周的第0天午夜后1秒开始。

this-month是这个月的第一天午夜之后的一秒。

this-year是第一个月的第一天午夜后的第1秒。

-tm, --terminal

关于终端的报表

-ts, --start [start-date] [start-time]

搜索时间戳等于或超过给定结束时间的事件。

结束时间的格式取决于您的地区。

如果省略日期，则假定为today。

如果省略时间，则假定为midnight。

使用24小时的时钟时间而不是AM或PM来指定时间。

例如日期是10/24/2005。例如，18:00:00。

也可以用这个词:now, recent, today, yesterday, t

his-week, this-month, this-year. 

today意味着从现在开始。

recent是10分钟前。yesterday是前一天午夜后1秒。 

this-week是指所在locale

决定的一周的第0天午夜后1秒开始。

this-month是这个月的第一天午夜之后的一秒。

this-year是第一个月的第一天午夜后的第1秒。

-u, --user

对用户的报表

-v, --version

打印版本并退出

-x, --executable

对可执行文件的报表