在Ubuntu系统中,SELinux(Security-Enhanced Linux)的日志可以通过以下几种方式进行查看:
ausearch命令ausearch是SELinux的一个强大工具,可以用来查询审计日志。
sudo ausearch -m avc -ts recent
-m avc:指定查找类型为AVC(Access Vector Cache)拒绝。-ts recent:显示最近的事件。/var/log/audit/audit.logSELinux的审计日志通常存储在/var/log/audit/audit.log文件中。
sudo cat /var/log/audit/audit.log | grep avc
或者使用less或more命令分页查看:
sudo less /var/log/audit/audit.log
auselect命令auselect是另一个用于查询SELinux审计日志的工具。
sudo auselect -m avc -ts recent
为了防止日志文件过大,可以配置日志轮转。编辑/etc/logrotate.d/audit文件:
sudo nano /etc/logrotate.d/audit
确保配置如下:
/var/log/audit/audit.log {
daily
missingok
rotate 7
compress
notifempty
create 0640 root adm
}
journalctl命令(适用于systemd)如果你的系统使用systemd,可以使用journalctl命令查看SELinux日志。
sudo journalctl -u auditd.service -k avc
可以通过修改/etc/selinux/config文件来调整SELinux的日志级别。
sudo nano /etc/selinux/config
找到SELINUX行并修改为所需的日志级别,例如:
SELINUX=enforcing
或者:
SELINUX=permissive
修改后需要重启系统使更改生效。
通过以上方法,你可以有效地查看和管理Ubuntu系统中的SELinux日志。