在CentOS系统中,SELinux(Security-Enhanced Linux)的日志可以通过以下几种方式进行查看:
ausearch命令ausearch是SELinux的一个强大工具,可以用来查询审计日志。
ausearch -m avc -ts recent
-m avc:指定搜索类型为AVC(Access Vector Cache)拒绝事件。-ts recent:显示最近的事件。ausearch -m avc -ts today
-ts today:显示今天的日志。ausearch -m avc -ts recent -c <process_name>
-c <process_name>:指定进程名。auselect命令auselect是另一个用于查询SELinux审计日志的工具。
auselect -m avc
auselect -m avc -s today
auselect -m avc -c <process_name>
/var/log/audit/audit.logSELinux的审计日志默认存储在/var/log/audit/audit.log文件中。
grep命令过滤日志grep "avc" /var/log/audit/audit.log
ausearch命令直接查询日志文件ausearch -f /var/log/audit/audit.log -m avc
journalctl命令如果系统启用了systemd-journald,可以使用journalctl命令查看SELinux日志。
journalctl -k | grep avc
journalctl -k --since "2023-04-01" | grep avc
ausearch和auselect命令时,可以结合使用各种选项来精确查询所需的日志信息。通过以上方法,你可以方便地查看和分析CentOS系统中SELinux的日志。