-a, --event <идентификатор события>

Искать события с заданным идентификатором события. В сообщении: msg=audit(1116360555.329:2401771), идентификатор события — число после «:». Все события аудита, связанные с одним системным вызовом, имеют одинаковый идентификатор.

--arch <CPU>

Искать события на основе определенной архитектуры процессора. Для определения архитектуры необходимо использовать команду uname –m. В случае, если архитектура ПЭВМ неизвестна, необходимо использовать таблицу 32-х битных системных вызовов, если она поддерживается ПЭВМ, можно использовать b32. Аналогичным образом применяется таблица системных вызовов b64.

-c, --comm <comm-name>

Искать события с заданным «comm name», именем исполняемого файла из структуры задачи.

--debug

Вывести сообщения, пропущенные stderr.

--checkpoint <файл контрольной точки>

Контрольная точка — это вывод между последовательными вызовами ausearch, так что в последующих вызовах будут выводиться только события, не попавшие в предыдущий вывод.

Событие auditd состоит из одной или нескольких записей. При обработке события ausearch определяет события как завершенные и незавершенные. Завершенное событие — это одно событие записи или то, которое произошло раньше, чем за две секунды по сравнению с текущим обрабатываемым событием. Контрольная точка обеспечивается путем записи последнего завершенного события вывода вместе с номером устройства и индексом файла последнего завершившегося события в файл контрольной точки. При следующем вызове ausearch загрузит данные контрольной точки и при обработке файлов журнала, будет отбрасывать все завершенные события, пока они не соответствуют контрольной точке, в этот момент ausearch начнет выводить события.

-e, --exit <код>

Искать события на основе кода системного вызова exit или errno.

--escape <опция>

Экранировать вывод. Возможные значения: raw, tty, shell и shell_quote. Каждый режим включает в себя символы предыдущего режима и экранирует больше символов. То есть shell включает все символы, экранируемые tty, и добавляет новые. Значение по умолчанию — tty.

--extra-keys

Если параметр format имеет значение csv, вывести столбец с дополнительной информацией.

Работает только с записями SYSCALL, которые были записаны в результате запуска правила аудита, определенного ключом.

--extra-labels

Если параметр format имеет значение csv, добавить информацию о метках субъекта и объекта (если метки существуют).

--extra-obj2

Если параметр format имеет значение csv, добавить информацию о втором объекте (если он существует). Второй объект иногда является частью записи, например, при переименовании файла или монтировании устройства.

--extra-time

Если параметр format имеет значение csv, добавить информацию о времени простоя.

-f, --file <файл>

Искать события с заданным именем файла.

--format <опции>

Отформатировать события, которые соответствуют критериям поиска. Поддерживаемые форматы: raw, default, interpret, csv и text. Значение raw описано в опции raw. При значении default строки выводятся без форматирования, в выводе используется одна строка в качестве визуального разделителя, далее указывается метка времени, а затем следуют записи события. Значение interpret объясняется в описании опции -i. При значении csv результат поиска выводится в формате CSV. Значение text преобразует вывод к формату предложений, что упрощает понимание вывода, но происходит это за счет потери деталей.

-ga, --gid-all all-<идентификатор группы>

Искать события с заданным эффективным или обычным идентификатором группы.

-ge, --gid-effective <эффективный идентификатор группы>

Искать события с заданным эффективным идентификатором группы или именем группы.

-gi, --gid <группа>

Искать события с заданным идентификатором группы или именем группы.

-h, --help

Справка

-hn, --host <имя узла>

Искать события с заданным именем узла. Имя узла может быть именем узла, полным доменным именем или цифровым сетевым адресом.

-i, --interpret

Транслировать числовые значения в текстовые. Например, идентификатор пользователя будет транслирован в имя пользователя. Трансляция выполняется с использованием данных с той машины, где запущена команда ausearch.

-if, --input <файл>|<каталог>

Использовать указанный файл или каталог вместо логов аудита. Это может быть полезно при анализе логов с другой машины или при анализе частично сохраненных логов.

--input-logs

Использовать местоположение файла журнала из auditd.conf как исходные данные для анализа. Применяется при использовании команды ausearch в задании cron.

--just-one

Остановиться после выдачи первого события, соответствующего критериям поиска.

-k, --key <ключевое слово>

Искать события с заданным ключевым словом.

-l, --line-buffered

Сбрасывать вывод после каждой строки.

-m, --message <тип>|<список типов>

Искать события с заданным типом, при этом можно указать список значений, разделенных запятыми. Можно указать несуществующий в событиях тип «ALL», который позволяет получить все сообщения системы аудита (список допустимых типов будет показан, если указать эту опцию без значения). Тип сообщения может быть строкой или числом. В списке значений этого параметра в качестве разделителя используются запятые и пробелы недопустимы.

-n , --node

Искать события с определенного узла. Допускается указание нескольких узлов (для вывода достаточно совпадение любого узла).

-p, --pid <идентификатор процесса>

Искать события с заданным идентификатором процесса.

-pp, --ppid <идентификатор процесса>

Искать события с заданным идентификатором родительского процесса.

-r, --raw

Необработанный вывод. Используется для извлечения записей для дальнейшего анализа.

-sc, --syscall <системный вызов>

Искать события с заданным системным вызовом. Можно указать номер или имя системного вызова. При указании имени системного вызова, оно будет проверено по таблице системных вызовов на машине, где запущена команда ausearch.

--session <идентификатор сеанса>

Искать события с заданным идентификатором сеанса. Этот атрибут устанавливается, когда пользователь входит в систему и может связать любой процесс с определенным именем пользователя.

-sv, --success <флаг>

Искать события с заданным флагом успешного выполнения. Допустимые значения: yes (успешно) и no (неудачно).

-te, --end <дата> <время>

Искать события, которые произошли раньше (или во время) указанной временной точки. Формат даты и времени зависит от региональных настроек. В случае если дата не указана, то подразумевается текущий день (today). В случае если не указано время, то подразумевается текущий момент (now).

--ts, --start <дата> <время>

Искать события, которые произошли после (или во время) указанной временной точки.

-tm, --terminal <терминал>

Искать события с заданным терминалом. Некоторые службы (такие как cron и atd) используют имя службы как имя терминала.

-ua, --uid-all <идентификатор пользователя>

Искать события, у которых любой из идентификатора пользователя, эффективного идентификатора пользователя или loginuid (auid) совпадают с заданным идентификатором пользователя.

-ue, --uid-effective <эффективный идентификатор пользователя>

Искать события с заданным эффективным идентификатором пользователя.

-ui, --uid <идентификатор пользователя>

Искать события с заданным идентификатором пользователя.

-ul, --loginuid <идентификатор пользователя>

Искать события с заданным идентификатором пользователя. Все программы, которые его используют, должны использовать pam_loginuid.

-uu, --uuid <идентификатор гостя>

Искать события с заданным идентификатором гостя.

-v, --verbose

Показать версию и выйти.

--vm, --vm-name <имя гостя>

Искать события с заданным именем гостя.

-x, --executable <программа>

Искать события с заданным именем исполняемой программы.