在Ubuntu中查看SELinux日志的方法如下:
查看日志文件
SELinux日志默认存储在/var/log/audit/audit.log中,可使用以下命令查看:
sudo cat /var/log/audit/audit.log:直接查看完整日志。sudo less /var/log/audit/audit.log:分页查看日志。sudo grep 'avc' /var/log/audit/audit.log:过滤出SELinux相关记录(avc为SELinux访问控制事件的关键标识)。使用工具查询
ausearch:查询审计日志中的SELinux事件,常用选项:
sudo ausearch -m avc -ts recent:查看最近的SELinux访问控制事件。sudo ausearch -k selinux:按自定义关键字selinux过滤日志。auselect:图形化或命令行工具,支持按事件类型筛选,如sudo auselect -m avc。配置审计规则(可选)
若需更详细日志,可编辑/etc/audit/auditd.conf,添加对SELinux相关文件/目录的监控(如/etc/selinux/config),并重启auditd服务。
注意:Ubuntu默认未启用SELinux,需先通过sudo apt install selinux-utils等命令安装并启用。
