.\" -*- coding: UTF-8 -*- .\"******************************************************************* .\" .\" This file was generated with po4a. Translate the source file. .\" .\"******************************************************************* .TH AUSEARCH 8 "مارس 2026" "ريد هات" "أدوات إدارة النظام" .SH الاسم ausearch \- أداة للاستعلام عن سجلات خفي التدقيق .SH موجز \fBausearch\fP [\fIخيارات\fP] .SH الوصف \fBausearch\fP هي أداة تستطيع الاستعلام عن سجلات خفي التدقيق بحثًا عن الأحداث بناءً على معايير بحث مختلفة. يمكن لأداة ausearch أيضًا أخذ المدخلات من المدخل القياسي (stdin) طالما كانت المدخلات هي بيانات السجل الخام. يشكل كل خيار سطر أوامر معطى عبارة "و". على سبيل المثال، البحث باستخدام \fB\-m\fP و \fB\-ui\fP يعني إرجاع الأحداث التي تحتوي على النوع المطلوب وتطابق معرف المستخدم المعطى. الاستثناء هو الخياران \fB\-m\fP و \fB\-n\fP؛ يسمح بأنواع سجلات وعقد متعددة في البحث، والتي ستُرجع أي عقدة وسجل مطابقين. يجب ملاحظة أن كل رحلة استدعاء نظام (syscall) من مساحة المستخدم إلى النواة والعودة إلى مساحة المستخدم لها معرف حدث فريد. أي حدث قابل للتدقيق يُشغّل خلال هذه الرحلة يشارك هذا المعرف بحيث يمكن ربطها. قد تضيف أجزاء مختلفة من النواة سجلات تكميلية. على سبيل المثال، حدث تدقيق على استدعاء النظام "open" سيؤدي أيضًا إلى إصدار النواة لسجل PATH مع اسم الملف. ستقدم أداة ausearch جميع السجلات التي تشكل حدثًا واحدًا معًا. قد يعني هذا أنه حتى لو بحثت عن نوع معين من السجلات، فقد تحتوي الأحداث الناتجة على سجلات SYSCALL. يجب الانتباه أيضًا إلى أن ليست كل أنواع السجلات تحتوي على المعلومات المطلوبة. على سبيل المثال، سجل PATH لا يحتوي على اسم مضيف أو معرف مستخدم تسجيل دخول (loginuid). .SH الخيارات .TP \fB\-a\fP,\ \fB\-\-event\fP\ \fIمعرف\-حدث\-التدقيق\fP ابحث عن حدث بناءً على \fIمعرف الحدث\fP المعطى. تبدأ الرسائل دائمًا بشيء مثل msg=audit(1116360555.329:2401771). معرف الحدث هو الرقم بعد ':'. جميع أحداث التدقيق التي تُسجل من استدعاء نظام لتطبيق واحد لها نفس معرف حدث التدقيق. استدعاء نظام ثانٍ من نفس التطبيق سيكون له معرف حدث مختلف. وبهذه الطريقة تكون فريدة. .TP \fB\-\-arch\fP\ \fIوحدة\-المعالجة\-المركزية\fP ابحث عن الأحداث بناءً على معمارية معالج مركزية محددة. إذا كنت لا تعرف معمارية جهازك ولكنك تريد استخدام جدول استدعاءات النظام 32 بت وجهازك يدعم 32 بت، يمكنك أيضًا استخدام \fBb32\fP للمعمارية. وينطبق الشيء نفسه على جدول استدعاءات النظام 64 بت، يمكنك استخدام \fBb64\fP. يمكن العثور على معمارية جهازك عن طريق تنفيذ 'uname \-m'. .TP \fB\-c\fP,\ \fB\-\-comm\fP\ \fIاسم\-الأمر\fP ابحث عن حدث بناءً على \fIاسم الأمر\fP المعطى. اسم الأمر هو اسم الملف التنفيذي من بنية المهمة. .TP \fB\-\-debug\fP اكتب الأحداث المشوهة التي تم تخطيها إلى المخرجات القياسية للأخطاء (stderr). .TP \fB\-\-checkpoint\fP\ \fIملف\-نقطة\-التفتيش\fP نقطة تفتيش الإخراج بين استدعاءات ausearch المتتالية بحيث تُطبع فقط الأحداث التي لم تُخرج سابقًا في الاستدعاءات اللاحقة. يتكون حدث auditd من سجل واحد أو أكثر. عند معالجة الأحداث، تُعرّف ausearch الأحداث على أنها إما كاملة أو غير كاملة. الحدث الكامل هو إما حدث سجل واحد أو حدث وقع وقته قبل ثانيتين مقارنة بالحدث الذي يُعالج حاليًا. يُحقق نقطة التفتيش عن طريق تسجيل آخر حدث كامل أُخرج مع رقم الجهاز و inode للملف الذي ظهر فيه آخر حدث كامل في \fIملف\-نقطة\-التفتيش\fP. في استدعاء لاحق، ستحمل ausearch بيانات نقطة التفتيش هذه، وعندما تعالج ملفات السجل، ستتجاهل جميع الأحداث الكاملة حتى تطابق الحدث الذي جرى تحديد نقطة تفتيش له. عند هذه النقطة، ستبدأ بإخراج الأحداث الكاملة. إذا لم يُعثر على الملف أو آخر حدث جرى تحديد نقطة تفتيش له، فستنتج عدة أخطاء وستتوقف ausearch. انظر \fBحالة الخروج\fP للحصول على التفاصيل. .TP \fB\-\-eoe\-timeout\fP\ \fIثوانٍ\fP اضبط مهلة نهاية تحليل الحدث. انظر \fBend_of_event_timeout\fP في \fIauditd.conf(5)\fP للتفاصيل. لاحظ أن ضبط هذه القيمة سيتجاوز أي قيمة مضبوطة موجودة في /etc/auditd/auditd.conf. .TP \fB\-e,\ \fP\-\-exit\fB\ \fP\fIرمز\-الخروج\-أو\-رقم\-الخطأ\fP ابحث عن حدث بناءً على \fIرمز الخروج أو رقم الخطأ\fP لاستدعاء النظام المعطى. .TP \fB\-\-escape\fP\ \fIخيار\fP يحدد هذا الخيار ما إذا كان المخرج سيُهرب لجعل المحتوى أكثر أمانًا لاستخدامات معينة. الخيارات هي \fIraw\fP و \fItty\fP و \fIshell\fP و \fIshell_quote\fP. يتضمن كل وضع محارف الوضع السابق ويهرب المزيد من المحارف. أي أن \fIshell\fP يتضمن جميع المحارف المهربة بواسطة \fItty\fP ويضيف المزيد. \fItty\fP هو المبدئي. .TP \fB\-\-extra\-keys\fP\ عندما يكون نمط \fIالتنسيق\fP هو \fIcsv\fP، يضيف هذا الخيار عمودًا أخيرًا بمعلومات المفتاح إذا كانت موجودة للحدث. يحدث هذا فقط في سجلات SYSCALL التي كانت نتيجة لتشغيل قاعدة تدقيق تحدد مفتاحًا. .TP \fB\-\-extra\-labels\fP\ عندما يكون نمط \fIالتنسيق\fP هو \fIcsv\fP، يضيف هذا الخيار أعمدة معلومات حول تسميات الموضوع والكائن عندما تكون موجودة. .TP \fB\-\-extra\-obj2\fP\ عندما يكون نمط \fIالتنسيق\fP هو \fIcsv\fP، يضيف هذا الخيار أعمدة معلومات حول كائن ثانٍ عندما يكون موجودًا. من النادر أن يكون كائن ثانٍ جزءًا من سجل. تتضمن بعض الأمثلة عندما يُعاد تسمية ملف من اسم إلى آخر أو عندما يُركب جهاز إلى مسار. .TP \fB\-\-extra\-time\fP\ عندما يكون نمط \fIالتنسيق\fP هو \fIcsv\fP، يضيف هذا الخيار أعمدة معلومات حول الوقت المفصل لتسهيل التجزئة. .TP \fB\-f\fP,\ \fB\-\-file\fP\ \fIfile\-name\fP ابحث عن حدث بناءً على \fIاسم الملف\fP المعطى. يطابق الوسيط الملفات العادية بالإضافة إلى مقابس af_unix. .TP \fB\-\-format\fP\ \fIoption\fP تُنسق الأحداث التي تطابق معايير البحث باستخدام هذا الخيار. التنسيقات المدعومة هي: raw، مبدئي، interpret، csv، و text. يوصف خيار \fIraw\fP تحت خيار سطر الأوامر \fI\-\-raw\fP. خيار \fIمبدئي\fP هو ما تحصل عليه عندما لا تُمرر أي خيارات تنسيق. يتضمن سطرًا واحدًا كفاصل مرئي يشير إلى الطابع الزمني ثم تتبعه سجلات الحدث. يُشرح خيار \fIinterpret\fP تحت خيار سطر الأوامر \fI\-i\fP. يخرج خيار \fIcsv\fP نتائج البحث كحدث معياري بتنسيق قيم مفصولة بفاصلة (CSV) مناسب للاستيراد في برامج التحليل. يحول خيار \fItext\fP الحدث إلى جملة إنجليزية أسهل فهمًا من الخيارات الأخرى، لكنه يأتي على حساب فقدان التفاصيل. في معظم الحالات، هذا جيد تمامًا لأن الحدث الأصلي لا يزال يحتفظ بجميع المعلومات الأصلية. .TP \fB\-ga\fP,\ \fB\-\-gid\-all\fP\ \fIall\-group\-id\fP ابحث عن حدث بمعرف مجموعة فعال أو معرف مجموعة يطابق \fIمعرف المجموعة\fP المعطى. .TP \fB\-ge\fP,\ \fB\-\-gid\-effective\fP\ \fIeffective\-group\-id\fP ابحث عن حدث بمعرف \fIالمجموعة الفعال\fP المعطى أو اسم المجموعة. .TP \fB\-gi\fP,\ \fB\-\-gid\fP\ \fIgroup\-id\fP ابحث عن حدث بمعرف \fIالمجموعة\fP المعطى أو اسم المجموعة. .TP \fB\-h\fP,\ \fB\-\-help\fP Help .TP \fB\-hn\fP,\ \fB\-\-host\fP\ \fIhost\-name\fP ابحث عن حدث باسم \fIالمضيف\fP المعطى. يمكن أن يكون اسم المضيف إما اسم مضيف، أو اسم نطاق مؤهل بالكامل، أو عنوان شبكة رقمي. لا تُبذل أي محاولة لحل العناوين الرقمية إلى أسماء نطاقات أو أسماء مستعارة. يرتبط هذا البحث عادةً بحقل addr أو host في أحداث التدقيق. انظر أيضًا الأمر \-\-node الذي يبحث في حقل node. .TP \fB\-i\fP،\ \fB\-\-interpret\fP فسّر الكيانات الرقمية إلى نص. على سبيل المثال، يُحوّل uid إلى اسم حساب. إذا كانت سجلات التدقيق غير مُثرية، يُجرى التحويل باستخدام الموارد الحالية للجهاز الذي يُشغّل عليه البحث. إذا أعدت تسمية الحسابات، أو لم تكن لديك نفس الحسابات على جهازك، فقد تحصل على نتائج مضللة. إذا كانت السجلات مُثرية، فإنها تستخدم البيانات التكميلية لإجراء التحويل. هذا يسمح بالإبلاغ الدقيق عن السجلات حتى عند التشغيل على جهاز مختلف عن الجهاز الذي جاءت منه السجلات الأصلية. .TP \fB\-if\fP,\ \fB\-\-input\fP\ \fIfile\-name\fP\ |\ \fIdirectory\fP استخدم \fIfile\fP أو \fIdirectory\fP المعطى بدلاً من السجلات. هذا للمساعدة في التحليل حيث نُقلت السجلات إلى آلة أخرى أو حُفظ جزء فقط من السجل. طول المسار محدود بـ 4064 بايت. .TP \fB\-\-input\-logs\fP استخدم موقع ملف السجل من auditd.conf كمدخل للبحث. هذا ضروري إذا كنت تستخدم ausearch من مهمة cron. .TP \fB\-\-just\-one\fP توقف بعد إصدار أول حدث يطابق معايير البحث. .TP \fB\-k\fP,\ \fB\-\-key\fP\ \fIkey\-string\fP ابحث عن حدث بناءً على \fIسلسلة المفتاح\fP المعطاة. .TP \fB\-l\fP,\ \fB\-\-line\-buffered\fP افرز المخرجات على كل سطر. مفيد جدًا عندما يكون stdout متصلاً بأنبوب وتكون استراتيجية التخزين المؤقت للكتل المبدئية غير مرغوبة. قد يفرض ذلك عقوبة على الأداء. .TP \fB\-m\fP,\ \fB\-\-message\fP\ \fImessage\-type\fP\ |\ \fIcomma\-sep\-message\-type\-list\fP ابحث عن حدث يطابق \fIنوع الرسالة\fP المعطى. (تُعرف أنواع الرسائل أيضًا بأنواع السجلات.) يمكنك أيضًا إدخال \fIقائمة أنواع رسائل مفصولة بفاصلات\fP أو أنواع رسائل فردية متعددة، كل منها بخياره \fI\-m\fP الخاص به. يوجد نوع رسالة \fBALL\fP لا يوجد في السجلات الفعلية. يسمح لك بالحصول على جميع الرسائل في النظام. قائمة أنواع الرسائل الصالحة طويلة. سيعرض البرنامج القائمة عندما لا يتم تمرير أي نوع رسالة مع هذا المعامل. يمكن أن يكون نوع الرسالة نصيًا أو رقميًا. إذا أدخلت قائمة، يمكن أن تكون هناك فواصل فقط ولا توجد مسافات تفصل القائمة. .TP \fB\-n\fP,\ \fB\-\-node\fP\ \fInode\-name\fP ابحث عن الأحداث التي نشأت من جهاز معين. يُسمح بعقد متعددة، وإذا تطابقت أي عقد، يُطابق الحدث. يستخدم هذا البحث حقل العقدة في أحداث التدقيق. انظر أيضًا الأمر \-\-host الذي يبحث عن الأحداث المتعلقة بمعلومات المضيف في مسار التدقيق. .TP \fB\-o\fP,\ \fB\-\-object\fP\ \fISE\-Linux\-context\-string\fP ابحث عن حدث ذي \fItcontext\fP (كائن) يطابق السلسلة. .TP \fB\-p\fP,\ \fB\-\-pid\fP\ \fIprocess\-id\fP ابحث عن حدث يطابق \fIمعرف العملية\fP المعطى. .TP \fB\-pp\fP,\ \fB\-\-ppid\fP\ \fIparent\-process\-id\fP ابحث عن حدث يطابق \fIمعرف العملية الأب\fP المعطى. .TP \fB\-r\fP,\ \fB\-\-raw\fP المخرجات غير منسقة تمامًا. هذا مفيد لاستخراج السجلات إلى ملف لا يزال من الممكن تفسيره بواسطة أدوات التدقيق أو عند التوجيه إلى أدوات تدقيق أخرى. .TP \fB\-sc\fP,\ \fB\-\-syscall\fP\ \fIsyscall\-name\-or\-value\fP ابحث عن حدث يطابق \fIsyscall\fP المعطى. يمكنك إما إعطاء القيمة الرقمية لاستدعاء النظام أو اسم استدعاء النظام. إذا أعطيت اسم استدعاء النظام، فسيستخدم جدول استدعاءات النظام للجهاز الذي تستخدمه. .TP \fB\-se\fP,\ \fB\-\-context\fP\ \fISE\-Linux\-context\-string\fP ابحث عن أحداث تطابق إما \fIscontext\fP/الموضوع أو \fItcontext\fP/الكائن مع السلسلة المعطاة. .TP \fB\-\-session\fP\ \fILogin\-Session\-ID\fP ابحث عن أحداث تطابق معرف جلسة الدخول المعطى. يتم تعيين سمة العملية هذه عند تسجيل دخول المستخدم ويمكنها ربط أي عملية بتسجيل دخول مستخدم معين. .TP \fB\-su\fP,\ \fB\-\-subject\fP\ \fISE\-Linux\-context\-string\fP ابحث عن حدث مع \fIscontext\fP (الموضوع) يطابق السلسلة. .TP \fB\-sv\fP,\ \fB\-\-success\fP\ \fIsuccess\-value\fP ابحث عن حدث يطابق \fIقيمة النجاح\fP المعطاة. القيم القانونية هي \fBنعم\fP و \fBلا\fP. .TP \fB\-te\fP،\ \fB\-\-end\fP\ [\fIتاريخ\-النهاية\fP]\ [\fIوقت\-النهاية\fP] ابحث عن أحداث بطوابع زمنية تساوي أو تسبق وقت النهاية المعطى. يعتمد تنسيق وقت النهاية على منطقتك. يمكنك التحقق من تنسيق منطقتك عن طريق تشغيل \fBdate \(aq+%x\(aq.\fP إذا تم حذف التاريخ، يُفترض \fBtoday\fP. إذا تم حذف الوقت، يُفترض \fBnow\fP. استخدم توقيت الساعة 24 ساعة بدلاً من صباحًا أو مساءً لتحديد الوقت. مثال على تاريخ باستخدام لغة en_US.utf8 هو 09/03/2009. مثال على الوقت هو 18:00:00. يتأثر تنسيق التاريخ المقبول بمتغير البيئة LC_TIME. يمكنك أيضًا استخدام الكلمة: \fBnow\fP، \fBrecent\fP، \fBthis\-hour\fP، \fBboot\fP، \fBtoday\fP، \fByesterday\fP، \fBthis\-week\fP، \fBweek\-ago\fP، \fBthis\-month\fP، أو \fBthis\-year\fP. \fBNow\fP تعني بدءًا من الآن. \fBRecent\fP تعني قبل 10 دقائق. \fBBoot\fP تعني وقت اليوم بالثانية عندما تم تشغيل النظام آخر مرة. \fBToday\fP تعني الآن. \fBYesterday\fP تعني ثانية واحدة بعد منتصف الليل في اليوم السابق. \fBThis\-week\fP تعني بدءًا من ثانية واحدة بعد منتصف الليل في اليوم 0 من الأسبوع المحدد بواسطة منطقتك (انظر \fBlocaltime\fP). \fBWeek\-ago\fP تعني ثانية واحدة بعد منتصف الليل قبل 7 أيام بالضبط. \fBThis\-month\fP تعني ثانية واحدة بعد منتصف الليل في اليوم 1 من الشهر. \fBThis\-year\fP تعني ثانية واحدة بعد منتصف الليل في أول يوم من الشهر الأول. .TP \fB\-ts\fP،\ \fB\-\-start\fP\ [\fIتاريخ\-البدء\fP]\ [\fIوقت\-البدء\fP] ابحث عن أحداث بطوابع زمنية تساوي أو تلي وقت البداية المعطى. يعتمد تنسيق وقت البداية على منطقتك. يمكنك التحقق من تنسيق منطقتك عن طريق تشغيل \fBdate \(aq+%x\(aq.\fP إذا تم حذف التاريخ، يُفترض \fBtoday\fP. إذا تم حذف الوقت، يُفترض \fBmidnight\fP. استخدم توقيت الساعة 24 ساعة بدلاً من صباحًا أو مساءً لتحديد الوقت. مثال على تاريخ باستخدام لغة en_US.utf8 هو 09/03/2009. مثال على الوقت هو 18:00:00. يتأثر تنسيق التاريخ المقبول بمتغير البيئة LC_TIME. يمكنك أيضًا استخدام الكلمة: \fBnow\fP، \fBrecent\fP، \fBthis\-hour\fP، \fBboot\fP، \fBtoday\fP، \fByesterday\fP، \fBthis\-week\fP، \fBweek\-ago\fP، \fBthis\-month\fP، \fBthis\-year\fP، أو \fBcheckpoint\fP. \fBBoot\fP تعني وقت اليوم بالثانية عندما تم تشغيل النظام آخر مرة. \fBToday\fP تعني بدءًا من ثانية واحدة بعد منتصف الليل. \fBRecent\fP تعني قبل 10 دقائق. \fBYesterday\fP تعني ثانية واحدة بعد منتصف الليل في اليوم السابق. \fBThis\-week\fP تعني بدءًا من ثانية واحدة بعد منتصف الليل في اليوم 0 من الأسبوع المحدد بواسطة منطقتك (انظر \fBlocaltime\fP). \fBWeek\-ago\fP تعني بدءًا من ثانية واحدة بعد منتصف الليل قبل 7 أيام بالضبط. \fBThis\-month\fP تعني ثانية واحدة بعد منتصف الليل في اليوم 1 من الشهر. \fBThis\-year\fP تعني ثانية واحدة بعد منتصف الليل في أول يوم من الشهر الأول. .sp \fBcheckpoint\fP تعني أن \fIausearch\fP سيستخدم الطابع الزمني الموجود داخل ملف نقطة تفتيش صالح متجاهلاً العقدة المسجلة والجهاز والرقم التسلسلي والعقدة ونوع الحدث الموجود أيضًا داخل ملف نقطة تفتيش. بشكل أساسي، هذا هو إجراء الاسترداد إذا فشل استدعاء \fIausearch\fP مع خيار نقطة تفتيش بحالة خروج 10 أو 11 أو 12. يمكن استخدامه في سكريبت شل مثل: .sp .in +5 .nf .na ausearch \-\-checkpoint /etc/audit/auditd_checkpoint.txt \-i _au_status=$? if test ${_au_status} \-eq 10 \-o ${_au_status} \-eq 11 \-o ${_au_status} \-eq 12 then ausearch \-\-checkpoint /etc/audit/auditd_checkpoint.txt \-\-start checkpoint \-i fi .ad .fi .in -5 .TP \fB\-tm\fP,\ \fB\-\-terminal\fP\ \fIterminal\fP ابحث عن حدث يطابق قيمة \fIterminal\fP المعطاة. تستخدم بعض البرامج الخفية مثل cron و atd اسم البرنامج الخفي للطرفية. .TP \fB\-ua\fP,\ \fB\-\-uid\-all\fP\ \fIall\-user\-id\fP ابحث عن حدث مع معرف مستخدم أو معرف مستخدم فعال أو معرف مستخدم تسجيل الدخول (auid) يطابق \fIمعرف المستخدم\fP المعطى. .TP \fB\-ue\fP,\ \fB\-\-uid\-effective\fP\ \fIeffective\-user\-id\fP ابحث عن حدث مع \fIمعرف المستخدم الفعال\fP المعطى. .TP \fB\-ui\fP,\ \fB\-\-uid\fP\ \fIuser\-id\fP ابحث عن حدث مع \fIمعرف المستخدم\fP المعطى. .TP \fB\-ul\fP,\ \fB\-\-loginuid\fP\ \fIlogin\-id\fP ابحث عن حدث مع \fIمعرف مستخدم تسجيل الدخول\fP المعطى. يجب تكوين جميع برامج نقاط الدخول التي تم تحويلها إلى PAM مع pam_loginuid المطلوب للجلسة لكي يكون البحث عن loginuid (auid) دقيقًا. .TP \fB\-uu\fP,\ \fB\-\-uuid\fP\ \fIguest\-uuid\fP ابحث عن حدث مع \fIمعرف UUID للضيف\fP المعطى. .TP \fB\-v\fP،\ \fB\-\-version\fP يطبع الإصدارة ويخرج .TP \fB\-vm\fP,\ \fB\-\-vm\-name\fP\ \fIguest\-name\fP ابحث عن حدث مع \fIاسم الضيف\fP المعطى. .TP \fB\-w\fP,\ \fB\-\-word\fP يجب أن تطابق المطابقات المستندة إلى السلسلة الكلمة بأكملها. تشمل هذه الفئة من المطابقات: اسم الملف، اسم المضيف، الطرفية، المفاتيح، وسياق SE Linux. .TP \fB\-x\fP,\ \fB\-\-executable\fP\ \fIexecutable\fP ابحث عن حدث يطابق اسم \fIالملف القابل للتنفيذ\fP المعطى. .SH "حالة الخروج" .TP 5 0 في حال النجاح، .TP 1 في حالة عدم العثور على أي شيء، أو حدوث أخطاء في المعلمات، أو أخطاء بسيطة في الوصول إلى الملفات أو قراءتها، .TP 10 وجدت بيانات غير صالحة في ملف نقطة التحقق، .TP 11 خطأ في معالجة نقطة التفتيش .TP 12 لم يُعثر على حدث نقطة التفتيش في ملف السجل المطابق .SH ملاحظة خيار وقت الإقلاع هو دالة ملائمة ولها قيود. الوقت الذي تحسبه يعتمد على الوقت الآن مطروحًا منه /proc/uptime. إذا جرى ضبط ساعة النظام بعد الإقلاع، ربما بواسطة ntp، فقد يكون الحساب خاطئًا. في هذه الحالة، ستحتاج إلى تحديد الوقت بالكامل. يمكنك التحقق من الوقت الذي ستستخدمه عن طريق تشغيل: date \-d "`cut \-f1 \-d. /proc/uptime` seconds ago" .SH أمثلة .nf البحث عن مستخدم معين: # ausearch \-\-start today \-\-loginuid john \-i تحقق من سجل SELinux لمعرفة ما إذا كان هناك أي حالات رفض اليوم # ausearch \-\-start today \-m avc \-i عرض أي سجلات حديثة لـ SELinux # ausearch \-m avc,user_avc,selinux_err,user_selinux_err \-i \-ts recent سجلات الإخراج بتنسيق نصي # ausearch \-\-start today \-\-format text تفسير أحداث TTY الناتجة وتحويلها إلى أحرف شل # ausearch \-\-start today \-m TTY \-i \-\-escape shell_quote .SH "انظر أيضًا" \fBauditd\fP(8)، \fBauditd.conf\fP(5)، \fBaureport\fP(8)، \fBpam_loginuid\fP(8). .PP .SH ترجمة تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي . .PP هذه الترجمة هي وثيقة مجانية؛ راجع .UR https://www.gnu.org/licenses/gpl-3.0.html رخصة جنو العامة الإصدار 3 .UE أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات. .PP إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: .MT kde-l10n-ar@kde.org .ME .