auditd 会把 SELinux 的信息都记录在 /var/log/auditd/auditd.log 中。
这个文件中记录的信息会非常多,如果手工查看,
则效率将非常低下。比如笔者的 Linux 中这个日志的大小就有 386KB。
[root@localhost ~]# ll -h /var/log/audit/audit.log
-rw-------.1 root root 386K 6月 5 15:53 /var/log/audit/audit.log而且我们这里的 Linux 只是实验用的虚拟机,
如果是真正的生产服务器,那么这个日志的大小将更加恐怖
(注意:audit.log 并没有自动加入 logrotate 日志轮替当中,需要手工让这个日志进行轮替)。
所以,如果我们手工查看这个日志,那么效率会非常低下。 还好,Linux 较为人性化,给我们准备了几个工具,
来帮助我们分析这个日志,下面分别来学习一下。
audit2why命令audit2why 命令用来分析 audit.log 日志文件,
并分析 SELinux 为什么会拒绝进程的访问。
也就是说,这个命令显示的都是 SELinux 的拒绝访问信息,
而正确的信息会被忽略。命令的格式也非常简单,如下:
[root@localhost ~]# audit2why < 日志文件名例如:
[root@localhost ~]# au
