[内容] Linux 查看 auditd 日志的案例

案例一:查看文件创建记录

# /usr/sbin/ausearch --start $(date +\%m/\%d/\%Y -d "-1 month") -i --input-logs | egrep "/test/test.txt.*nametype=CREATE" | awk '{print $2,$3,$6}'

(补充:这里以查看 /test/test.txt 文件有没有被创建为例)

案例二:查看文件删除记录

# /usr/sbin/ausearch --start $(date +\%m/\%d/\%Y -d "-1 month") -i --input-logs | egrep "/test/test.txt.*nametype=DELETE" | awk '{print $2,$3,$6}'

(补充:这里以查看 /test/test.txt 文件有没有被删除为例)

案例三:查看文件有没有存在过

# /usr/sbin/ausearch --start $(date +\%m/\%d/\%Y -d "-1 month") -i --input-logs | egrep "/test/test.txt.*nametype=" | awk '{print $2,$3,$6}' | uniq

(补充:这里以查看 /test/test.txt 文件有没有存在过为例)