SELinux日志在Ubuntu哪查看
小樊
39
2025-11-16 20:33:04
查看位置与前提条件
- 在启用 SELinux 的 Ubuntu 上,相关日志由 auditd 写入 /var/log/audit/audit.log,其中以 AVC(Access Vector Cache)记录为主。若未安装或未运行 auditd,将看不到 SELinux 的审计日志。另需注意,Ubuntu 默认不启用 SELinux,需先安装并启用相关组件后,日志才会出现在该路径。
常用查看命令
- 直接查看审计日志中的 SELinux 拒绝记录:
- grep -i “denied” /var/log/audit/audit.log
- 使用 ausearch 按 AVC 类型检索(示例:今天、最近):
- sudo ausearch -m avc -ts today
- sudo ausearch -m avc -ts recent -te now
- 生成 SELinux 审计报告:
- 以上命令依赖 auditd 记录,如未安装/未运行,请先安装并启动 auditd。
没有日志时的排查
- 检查 SELinux 是否启用与运行模式:
- 检查并启动 auditd 服务:
- sudo systemctl status auditd
- sudo systemctl start auditd
- sudo systemctl enable auditd
- 若系统未安装 SELinux 相关包或未启用策略,请先完成安装与启用,再查看 /var/log/audit/audit.log。
