ausearch命令 – 搜索审计记录
使用ausearch命令可以搜索审计记录,必须以root用户身份执行ausearch命令。
**语法格式:** ausearch [参数]
**常用参数:**
| -f | 基于文件名的搜索 |
| ----- | ---------------------- |
| -c | 基于命令行的搜索 |
| -ui | 基于计算机名称的搜索 |
| -p | 基于进程id的搜索 |
**参考实例**
基于root搜索审计记录:
```
[root@anycode ~]# ausearch -ui 0
```
基于终端tty1搜索审计记录:
```
[root@anycode ~]# ausearch -tm tty1
```
基于进程号1799搜索审计记录:
```
[root@anycode ~]# ausearch -tm tty1
```
