aureport可直接将auditd日志转为清晰安全视图,无需脚本或平台;通过分层提取角色、时间、行为类型,实现登录总览、失败调用排行、提权行为清单、敏感文件访问等核心维度分析,并支持定向切片、CSV导出及ausearch溯源闭环。
直接用 aureport 就能将 auditd 原始日志转化为清晰、可读性强的安全态势视图,不需要写脚本或搭平台。关键在于按角色、时间、行为类型分层提取,把“谁在什么时间做了什么高风险动作”一眼看明白。
每天花两分钟运行这几条命令,就能掌握系统当前最值得关注的动向:
sudo aureport -l --summary,查看 SSH、su、console 登录成功/失败次数、涉及用户数和终端分布,快速识别暴力尝试苗头sudo aureport -f --summary,列出 open、execve、connect 等失败最多的系统调用,常指向权限配置错误或恶意探测sudo aureport -m USER_CMD --key sudo -i,只提取所有带 sudo 标签的命令,含完整路径、执行用户和时间,便于核查非授权运维-k account_shadow,则运行 sudo aureport -k account_shadow -i 即可拉出所有对 /etc/shadow 的读取记录报表不是泛泛而谈的统计,而是服务于具体排查场景。给定一个线索,立刻缩小范围:
sudo aureport -ts today -te now -ui 1000(UID 替换为实际值),输出该用户从早到晚所有审计事件摘要-k config_change,运行 sudo aureport -f --key config_change 只显示匹配该标签的文件操作sudo aureport -ts "2026-06-18 14:00" -te "2026-06-18 15:00" -m SYSCALL | grep chmod,精准定位一小时内所有权限修改动作终端查看适合快速巡检,但要归档、比对或导入分析工具,必须导出标准格式:
sudo aureport -au --format csv > /tmp/user_actions.csv,字段含时间、用户、终端、命令、工作目录,可直接拖进 Excel 筛选sudo aureport -f -ts "2026-06-15" -te "2026-06-19" --format csv > /tmp/file_access.csv,用于排查横向移动路径sudo aureport -au --raw > /tmp/raw_events.log,字段完整,适配 SIEM 或自研分析脚本sudo aureport -l --limit 200 只输出最近 200 条登录记录,避免大日志阻塞终端aureport 是“面”,ausearch 是“点”。发现异常汇总后,必须回溯原始上下文才能确认性质:
sudo ausearch -ua 1000 --start recent -i | head -n 50 查其最近操作流sudo ausearch -m execve -i --start recent | grep -A 5 -B 5 "denied" 提取完整调用链,包括参数、父进程、执行路径event 123456789),可用 sudo ausearch -a 123456789 -i 精准还原单条原始记录