centos selinux日志查看

在CentOS系统中，SELinux（Security-Enhanced Linux）的日志可以通过以下几种方式进行查看：

1. 使用ausearch命令

ausearch是SELinux的一个强大工具，可以用来查询审计日志。

查看所有SELinux拒绝事件

ausearch -m avc -ts recent

• -m avc：指定搜索类型为AVC（Access Vector Cache）拒绝事件。
• -ts recent：显示最近的事件。

查看特定时间段的日志

ausearch -m avc -ts today

• -ts today：显示今天的日志。

查看特定进程的日志

ausearch -m avc -ts recent -c <process_name>

• -c <process_name>：指定进程名。

2. 使用auselect命令

auselect是另一个用于查询SELinux审计日志的工具。

查看所有SELinux拒绝事件

auselect -m avc

查看特定时间段的日志

auselect -m avc -s today

查看特定进程的日志

auselect -m avc -c <process_name>

3. 查看/var/log/audit/audit.log

SELinux的审计日志默认存储在/var/log/audit/audit.log文件中。

使用grep命令过滤日志

grep "avc" /var/log/audit/audit.log

使用ausearch命令直接查询日志文件

ausearch -f /var/log/audit/audit.log -m avc

4. 使用journalctl命令

如果系统启用了systemd-journald，可以使用journalctl命令查看SELinux日志。

查看所有SELinux拒绝事件

journalctl -k | grep avc

查看特定时间段的日志

journalctl -k --since "2023-04-01" | grep avc

注意事项

• SELinux日志可能会非常大，定期清理和归档日志文件是一个好习惯。
• 使用ausearch和auselect命令时，可以结合使用各种选项来精确查询所需的日志信息。

通过以上方法，你可以方便地查看和分析CentOS系统中SELinux的日志。