← retour aux snippets

ausearch/aureport: analyser les logs auditd

Rechercher des événements d'audit (execve, chmod, auth) et générer des rapports.

objectif

Retrouver qui a changé un fichier ou exécuté une commande sensible.

code minimal

# derniers execs de /usr/bin/passwd
sudo ausearch -f /usr/bin/passwd -m EXECVE -ts recent | less

utilisation

# rapport de connexions
sudo aureport -au -ts today

variante(s) utile(s)

# par UID
sudo ausearch -ua 1000 -m EXECVE -ts today

notes

  • nécessite auditd actif et règles (voir auditctl).
  • outputs verbeux; filtrez soigneusement.