Ubuntu SELinux日志如何查看

在Ubuntu系统中，SELinux（Security-Enhanced Linux）的日志可以通过以下几种方法查看：

方法一：使用ausearch工具

ausearch是SELinux的一个强大工具，可以用来查询和显示SELinux的安全审计日志。

1. 安装auditd包（如果尚未安装）：

   sudo apt-get update
   sudo apt-get install auditd audispd-plugins
   

2. 查看所有SELinux日志：

   sudo ausearch -m avc -ts recent
   

   这条命令会显示最近发生的AVC（Access Vector Cache）拒绝事件。

3. 根据时间范围查看日志：

   sudo ausearch -m avc -ts today
   

   这条命令会显示当天发生的AVC拒绝事件。

4. 根据特定进程ID查看日志：

   sudo ausearch -m avc -ts recent -c <process_name>
   

   将<process_name>替换为你想要查询的进程名称。

方法二：查看/var/log/audit/audit.log

auditd服务会将日志写入/var/log/audit/audit.log文件中。

1. 使用grep命令过滤日志：

   sudo grep "AVC" /var/log/audit/audit.log
   

   这条命令会显示所有包含"AVC"的日志条目。

2. 使用ausearch工具结合日志文件：

   sudo ausearch -i -k avc -ts recent --file /var/log/audit/audit.log
   

   这条命令会显示最近发生的AVC拒绝事件，并且直接从日志文件中读取数据。

方法三：使用journalctl查看系统日志

如果你的系统启用了systemd，可以使用journalctl来查看SELinux相关的日志。

1. 查看所有SELinux日志：

   sudo journalctl -k | grep "SELinux"
   

2. 根据时间范围查看日志：

   sudo journalctl -k --since "2023-04-01" | grep "SELinux"
   

3. 根据特定进程ID查看日志：

   sudo journalctl -k --since "2023-04-01" -u <process_name> | grep "SELinux"
   

注意事项

• SELinux日志可能会非常详细，建议使用grep或其他文本处理工具进行过滤和分析。
• 如果SELinux处于 enforcing 模式，日志中会显示更多的拒绝事件；如果处于 permissive 模式，日志中只会显示警告信息。

通过以上方法，你可以方便地查看和分析Ubuntu系统中的SELinux日志。