audit审计日志分析

记录部分	名称	描述
类型= AVC	日志类型	仅在audit.log文件中; 它通知用户这是什么类型的审计日志类型。所以在我们的例子中，它是一个AVC日志条目
味精=审计（1363289005.532：184）	时间戳	自纪元以来以秒为单位的时间戳，表示自1970年1月1日以来的秒数。您可以使用日期-d @后跟数字将其转换为更易于阅读的格式，如下所示： user $date -d @1363292159.532 2013年3月14日星期三21:15:59 CET
AVC：	日志类型（再次）	通知用户这是什么类型的日志条目。在这种情况下，AVC日志条目。
否认	国家 （如果强制执行）	SELinux做了什么，可以被拒绝或授予。请注意，如果SELinux处于许可模式（稍后我们将讨论），那么即使它被允许，它仍然会被拒绝记录。
{read}	允许	请求/执行的权限。在这种情况下，它是一个读操作。有时权限包含一个集合（如{read write}，但在大多数情况下，它是一个权限请求）。
为pid = 29199	过程PID	采取行动的进程的进程标识符（在本例中，尝试阅读）
COMM = “跟踪”	处理CMD	进程命令（不带参数，限制为15个字符），可帮助用户识别进程已经消失的过程（PID仅在进程仍在运行时才有用）
NAME = “在线”	目标名称	目标的名称（在本例中为文件名）。这个领域在很大程度上取决于目标本身; 它也可以是path =，capability =，src =等等。但在这些情况下，其目的应该从日志的其余部分清楚。
dev的= “sysfs的”	设备	目标所在的设备（如果是文件或文件系统）。在这种情况下，设备是sysfs所以我们立即提示这是针对/ sys内部的东西。其他有效示例是dev = md-0，dev = sda1或dev = tmpfs。
伊诺= 30	inode号码	目标文件的inode编号。在这种情况下，由于我们知道它在sysfs文件系统上（因此在/ sys中），我们可以使用find来查找这个文件： user $find /sys -xdev -inum 30 / SYS /设备/系统/ CPU /在线
scontext = staff_u：staff_r：googletalk_plugin_t	来源背景	进程的安全上下文（域）
tcontext = system_u：object_r：sysfs_t	目标背景	目标资源的安全上下文（在本例中为文件）
tclass =文件	目标类	目标的类。我们已经看过文件，dir也不应该让你感到惊讶。SELinux支持很多类，稍后我们将对其进行描述。