.\" -*- coding: UTF-8 -*-
.\"*******************************************************************
.\"
.\" This file was generated with po4a. Translate the source file.
.\"
.\"*******************************************************************
.TH AUSEARCH 8 "iulie 2023" "Red Hat" "Utilitare de administrare a sistemului"
.SH NUME
ausearch \- un instrument pentru interogarea jurnalelor demonului de audit
.SH SINOPSIS
\fBausearch\fP [\fIopțiuni\fP]
.SH DESCRIERE
\fBausearch\fP este un instrument care poate interoga jurnalele demonului de
audit pe baza evenimentelor, în funcție de diferite criterii de
căutare. Utilitarul ausearch poate accepta și intrări de la intrarea
standard, atâta timp cât intrarea este reprezentată de datele brute din
jurnal. Fiecare opțiune de linie de comandă dată formează o instrucțiune
„ȘI”. De exemplu, căutarea cu \fB\-m\fP și \fB\-ui\fP înseamnă returnarea
evenimentelor care au atât tipul solicitat, cât și ID\-ul utilizatorului
dat. O excepție o constituie opțiunile \fB\-m\fP și \fB\-n\fP; într\-o căutare sunt
permise mai multe tipuri de înregistrări și noduri, care vor returna orice
nod și înregistrare ce coincid.

De asemenea, trebuie menționat că fiecare excursie syscall din spațiul
utilizatorului în nucleu și înapoi în spațiul utilizatorului are un ID de
eveniment unic. Orice eveniment audiabil declanșat în timpul acestei
excursii are același ID, astfel încât acestea să poată fi corelate.

Diferite părți ale nucleului pot adăuga înregistrări suplimentare. De
exemplu, un eveniment de audit pe apelul de sistem „open” va determina
nucleul să emită și o înregistrare PATH cu numele fișierului. Utilitarul
ausearch va prezenta toate înregistrările care alcătuiesc un eveniment
împreună. Acest lucru ar putea însemna că, chiar dacă căutați un anumit tip
de înregistrare, evenimentele rezultate pot conține înregistrări SYSCALL.

De asemenea, rețineți că nu toate tipurile de înregistrări conțin
informațiile solicitate. De exemplu, o înregistrare PATH nu conține un nume
de gazdă sau un loginuid.

.SH OPȚIUNI
.TP 
\fB\-a\fP,\ \fB\-\-event\fP\ \fIid\-eveniment\-audit\fP
Caută un eveniment pe baza ID\-ului de eveniment \fIid\-eveniment\-audit\fP
dat. Mesajele încep întotdeauna cu ceva precum
msg=audit(1116360555.329:2401771). ID\-ul evenimentului este numărul care
urmează după „:”. Toate evenimentele de audit înregistrate din apelul de
sistem al unei aplicații au același ID de eveniment de audit. Un al doilea
apel de sistem efectuat de aceeași aplicație va avea un ID de eveniment
diferit. În acest fel, ele sunt unice.
.TP 
\fB\-\-arch\fP\ \fICPU\fP
Caută evenimente pe baza unei arhitecturi CPU specifice.  Dacă nu cunoașteți
arhitectura mașinii dvs., dar doriți să utilizați tabelul syscall pe 32 de
biți și mașina dvs. acceptă 32 de biți, puteți utiliza, de asemenea, \fBb32\fP
pentru arhitectură. Același lucru se aplică și tabelului syscall pe 64 de
biți, puteți utiliza \fBb64.\fP Arhitectura mașinii dvs. poate fi găsită
executând comanda „uname \-m”.
.TP 
\fB\-c\fP,\ \fB\-\-comm\fP\ \fInume\-comun\fP
Caută un eveniment pe baza numelui \fInume\-comun\fP dat. Numele comun este
numele executabilului din structura sarcinii.
.TP 
\fB\-\-debug\fP
Scrie evenimentele incorect formatate care sunt omise la ieșirea de erori
standard.
.TP 
\fB\-\-checkpoint\fP\ \fIfișier\-punct_verificare\fP
Verifică ieșirea între invocările succesive ale ausearch, astfel încât numai
evenimentele care nu au fost afișate anterior să fie afișate în invocările
ulterioare.

Un eveniment auditd este alcătuit din una sau mai multe înregistrări. La
procesarea evenimentelor, ausearch definește evenimentele ca fiind complete
sau incomplete.  Un eveniment complet este fie un eveniment cu o singură
înregistrare, fie unul al cărui moment de producere a avut loc cu 2 secunde
în urmă față de evenimentul procesat în prezent.

Un punct de verificare se realizează prin înregistrarea ultimei ieșiri a
evenimentului finalizat împreună cu numărul dispozitivului și nodul\-i al
fișierului în care a apărut ultimul eveniment finalizat în
\fIfișier\-punct_verificare\fP. La o invocare ulterioară, ausearch va încărca
aceste date de punct de verificare și, pe măsură ce procesează fișierele
jurnal, va elimina toate evenimentele finalizate până când va găsi unul care
corespunde punctului de verificare. În acest moment, va începe să afișeze
evenimentele finalizate.

Dacă fișierul sau ultimul eveniment verificat nu sunt găsite, va apărea una
dintre numeroasele erori și ausearch se va închide. Consultați \fBEXIT STATUS\fP pentru detalii.

.TP 
\fB\-\-eoe\-timeout\fP\ \fIsecunde\fP
Stabilește timpul de expirare pentru analizarea sfârșitului
evenimentului. Pentru detalii, consultați \fBend_of_event_timeout\fP în
\fIauditd.conf(5)\fP. Rețineți că stabilirea acestei valori va suprascrie orice
valoare configurată găsită în „/etc/auditd/auditd.conf”.
.TP 
\fB\-e,\ \fP\-\-exit\fB\ \fP\fIcod\-ieșire_sau_errno\fP
Caută un eveniment pe baza apelului de sistem dat \fIcod de ieșire sau errno\fP.
.TP 
\fB\-\-escape\fP\ \fIopțiune\fP
Această opțiune determină dacă ieșirea este eludapată pentru a face
conținutul mai sigur pentru anumite utilizări. Opțiunile sunt \fIraw\fP ,
\fItty\fP , \fIshell\fP și \fIshell_quote\fP. Fiecare mod include caracterele modului
precedent și eludează mai multe caractere. Adică \fIshell\fP include toate
caracterele eludate de \fItty\fP și adaugă altele. \fItty\fP este opțiunea
implicită.
.TP 
\fB\-\-extra\-keys\fP\ 
Când modul \fIformat\fP este \fIcsv\fP, această opțiune va adăuga o coloană finală
cu informații cheie, dacă acestea există pentru eveniment. Acest lucru se va
întâmpla numai în cazul înregistrărilor SYSCALL care au fost rezultatul
declanșării unei reguli de audit care definește o cheie.
.TP 
\fB\-\-extra\-labels\fP\ 
Când modul \fIformat\fP este \fIcsv\fP, această opțiune va adăuga coloane cu
informații despre etichetele subiectului și obiectului, dacă acestea există.
.TP 
\fB\-\-extra\-obj2\fP\ 
Când modul \fIformat\fP este \fIcsv\fP, această opțiune va adăuga coloane cu
informații despre un al doilea obiect, dacă acesta există. Este rar ca un al
doilea obiect să facă parte dintr\-un înregistrare. Câteva exemple sunt
atunci când un fișier este redenumit sau când un dispozitiv este montat pe o
rută.
.TP 
\fB\-\-extra\-time\fP\ 
Când modul \fIformat\fP este \fIcsv\fP, această opțiune va adăuga coloane cu
informații despre timpul defalcat pentru a facilita crearea de subseturi.
.TP 
\fB\-f\fP,\ \fB\-\-file\fP\ \fInume\-fișier\fP
Caută un eveniment pe baza fișierului \fInume\-fișier\fP dat. Argumentul va
corespunde atât fișierelor normale, cât și soclurilor af_unix.
.TP 
\fB\-\-format\fP\ \fIopțiune\fP
Evenimentele care corespund criteriilor de căutare sunt formatate utilizând
această opțiune. Formatele acceptate sunt: raw, default, interpret, csv și
text. Opțiunea \fIraw\fP este descrisă în secțiunea dedicată opțiunii liniei de
comandă \fI\-\-raw\fP. Opțiunea \fIdefault\fP este cea pe care o obțineți atunci
când nu sunt transmise opțiuni de formatare. Aceasta include o linie ca
separator vizual care indică marca temporală, urmată de înregistrările
evenimentului. Opțiunea \fIinterpret\fP este explicată în secțiunea dedicată
opțiunii liniei de comandă \fI\-i\fP. Opțiunea \fIcsv\fP afișează rezultatele
căutării ca un eveniment normalizat în format CSV (comma separated value \-
valori separate prin virgule), potrivit pentru importul în programe
analitice. Opțiunea \fItext\fP transformă evenimentul într\-o propoziție în
limba engleză, mai ușor de înțeles decât alte opțiuni, dar cu prețul
pierderii detaliilor. În majoritatea cazurilor, acest lucru este perfect
acceptabil, deoarece evenimentul original păstrează toate informațiile
originale.
.TP 
\fB\-ga\fP,\ \fB\-\-gid\-all\fP\ \fIid\-grup\fP
Caută un eveniment cu ID\-ul grupului efectiv sau cu ID\-ul grupului care
corespunde cu ID\-ul grupului dat.
.TP 
\fB\-ge\fP,\ \fB\-\-gid\-effective\fP\ \fIid\-grup\-efectiv\fP
Căutați un eveniment cu ID\-ul \fIid\-grup\-efectiv\fP sau numele grupului dat.
.TP 
\fB\-gi\fP,\ \fB\-\-gid\fP\ \fIid\-grup\fP
Caută un eveniment cu ID\-ul de grup sau numele de grup dat.
.TP 
\fB\-h\fP,\ \fB\-\-help\fP
Ajutor
.TP 
\fB\-hn\fP,\ \fB\-\-host\fP\ \fInume\-gazdă\fP
Caută un eveniment cu numele de gazdă \fInume gazdă\fP dat. Numele gazdei poate
fi fie un nume de gazdă, un nume de domeniu complet calificat sau o adresă
de rețea numerică. Nu se încearcă rezolvarea adreselor numerice în nume de
domeniu sau alias. Această căutare corelează de obicei cu câmpul «addr»
(adresa) sau «host» (gazda) al evenimentelor de audit. A se vedea și comanda
„\-\-node”, care caută în câmpul «node» (nod).
.TP 
\fB\-i\fP,\ \fB\-\-interpret\fP
Interpretează entitățile numerice în text. De exemplu, uid este convertit în
numele contului. Dacă jurnalele de audit nu sunt îmbogățite, conversia se
face utilizând resursele curente ale mașinii pe care se execută
căutarea. Dacă ați redenumit conturile sau nu aveți aceleași conturi pe
mașina dvs., puteți obține rezultate înșelătoare. Dacă jurnalele sunt
îmbogățite, se utilizează datele suplimentare pentru a efectua
conversia. Acest lucru permite raportarea precisă a jurnalelor, chiar și
atunci când se execută pe o mașină diferită de cea de unde provin jurnalele
originale.
.TP 
\fB\-if\fP,\ \fB\-\-input\fP\ \fInume\-fișier\fP\ |\ \fIdirector\fP
Utilizează \fIfișierul\fP sau \fIdirectorul\fP specificat în locul
jurnalelor. Acest lucru facilitează analiza în cazul în care jurnalele au
fost mutate pe un alt calculator sau doar o parte din jurnal a fost
salvată. Lungimea rutei este limitată la 4064 octeți.
.TP 
\fB\-\-input\-logs\fP
Utilizează locația fișierului jurnal din auditd.conf ca intrare pentru
căutare. Acest lucru este necesar dacă utilizați ausearch dintr\-o sarcină
cron.
.TP 
\fB\-\-just\-one\fP
Oprește după emiterea primului eveniment care corespunde criteriilor de
căutare.
.TP 
\fB\-k\fP,\ \fB\-\-key\fP\ \fIșir\-cheie\fP
Caută un eveniment pe baza șirului \fIșir\-cheie\fP dat.
.TP 
\fB\-l\fP,\ \fB\-\-line\-buffered\fP
Golește ieșirea pe fiecare linie. Foarte util atunci când ieșirea standard
este conectată la o conductă și strategia implicită de stocare în bloc în
memoria tampon nu este de dorit. Poate afecta performanța.
.TP 
\fB\-m\fP,\ \fB\-\-message\fP\ \fItip\-mesaj\fP\ |\ \fIlistă\-tip\-mesaj\-separate\-prin\-virgule\fP
Caută un eveniment care corespunde tipului de mesaj \fItip\-mesaj\fP; (tipurile
de mesaje sunt cunoscute și sub denumirea de tipuri de înregistrări). De
asemenea, puteți introduce o \fIlistă de tipuri de mesaje separate prin virgule\fP sau mai multe tipuri de mesaje individuale, fiecare cu propria
opțiune \fI\-m\fP. Există un tip de mesaj \fBALL\fP care nu există în jurnalele
reale. Acesta vă permite să obțineți toate mesajele din sistem. Lista
tipurilor de mesaje valide este lungă. Programul va afișa lista ori de câte
ori nu se transmite niciun tip de mesaj cu acest parametru. Tipul de mesaj
poate fi text sau numeric. Dacă introduceți o listă, aceasta poate conține
numai virgule și fără spații între elemente.
.TP 
\fB\-n\fP,\ \fB\-\-node\fP
Caută evenimente provenite de la o anumită mașină. Sunt permise mai multe
noduri, iar dacă vreunul dintre noduri se potrivește, evenimentul este
identificat. Această căutare utilizează câmpul nod din evenimentele de
audit. A se vedea și comanda „\-\-host”, care caută evenimente legate de
informațiile despre gazdă în traseul de audit.
.TP 
\fB\-o\fP,\ \fB\-\-object\fP\ \fIșir\-context_SE\-Linux\fP
Caută evenimentul cu \fIșir\-context_SE\-Linux\fP (obiect) care corespunde
șirului.
.TP 
\fB\-p\fP,\ \fB\-\-pid\fP\ \fIid\-proces\fP
Caută un eveniment care corespunde ID\-ului de proces \fIid\-proces\fP dat.
.TP 
\fB\-pp\fP,\ \fB\-\-ppid\fP\ \fIid\-proces\-părinte\fP
Caută un eveniment care corespunde ID\-ului procesului părinte
\fIid\-proces\-părinte\fP dat.
.TP 
\fB\-r\fP,\ \fB\-\-raw\fP
Ieșirea este complet neformatată. Acest lucru este util pentru extragerea
înregistrărilor într\-un fișier care poate fi interpretat în continuare de
instrumentele de audit sau atunci când se transferă către alte instrumente
de audit.
.TP 
\fB\-sc\fP,\ \fB\-\-syscall\fP\ \fInume_sau_valoare\-syscall\fP
Caută un eveniment care corespunde cu \fIsyscall\fP dat. Puteți introduce fie
valoarea numerică syscall, fie numele syscall. Dacă introduceți numele
syscall, se va utiliza tabelul syscall pentru mașina pe care o utilizați.
.TP 
\fB\-se\fP,\ \fB\-\-context\fP\ \fIșir\-context_SE\-Linux\fP
Caută evenimente cu \fIșir\-context_SE\-Linux\fP/subiect sau
\fIșir\-context_SE\-Linux\fP/obiect care corespund șirului dat.
.TP 
\fB\-\-session\fP\ \fIID\-sesiune\-conectare\fP
Caută evenimente care corespund ID\-ului sesiunii de conectare dat. Acest
atribut al procesului este stabilit când un utilizator se conectează și
poate lega orice proces de o anumită conectare a utilizatorului.
.TP 
\fB\-su\fP,\ \fB\-\-subject\fP\ \fIșir\-context_SE\-Linux\fP
Caută evenimentul cu \fIșir\-context_SE\-Linux\fP (subiect) care corespunde
șirului.
.TP 
\fB\-sv\fP,\ \fB\-\-success\fP\ \fIvaloare\-succes\fP
Caută un eveniment care corespunde valorii \fIvaloare\-succes\fP date. Valorile
admise sunt \fByes\fP și \fBno\fP.
.TP 
\fB\-te\fP,\ \fB\-\-end\fP\ [\fIdata\-sfârșit\fP]\ [\fIora\-sfârșit\fP]
Caută evenimente cu marcaje temporale egale sau anterioare orei de încheiere
specificate. Formatul orei de încheiere depinde de configurația
regională. Puteți verifica formatul configurației regionale executând \fBdate \(aq+%x\(aq\fP). Dacă data este omisă, se presupune \fBtoday\fP. Dacă ora este
omisă, se presupune \fBnow\fP. Utilizați ora în format de 24 de ore în loc de
AM sau PM pentru a specifica ora. Un exemplu de dată utilizând configurația
regională en_US.utf8 este 09/03/2009. Un exemplu de oră este
18:00:00. Formatul de dată acceptat este influențat de variabila de mediu
LC_TIME.

De asemenea, puteți utiliza cuvintele: \fBnow\fP (acum), \fBrecent\fP (recent),
\fBthis\-hour\fP (această oră), \fBboot\fP (pornire), \fBtoday\fP (astăzi),
\fByesterday\fP (ieri), \fBthis\-week\fP (săptămâna aceasta), \fBweek\-ago\fP
(săptămâna trecută), \fBthis\-month\fP (luna aceasta), \fBthis\-year\fP (anul
acesta). \fBNow\fP înseamnă începând de acum. \fBRecent\fP înseamnă acum 10
minute. \fBBoot\fP înseamnă ora exactă, la secundă, la care sistemul a fost
pornit ultima dată. \fBToday\fP înseamnă acum. \fBYesterday\fP înseamnă 1 secundă
după miezul nopții din ziua precedentă. \fBThis\-week\fP înseamnă începând cu 1
secundă după miezul nopții din ziua 0 a săptămânii determinate de
configurația regională (vedeți \fBlocaltime\fP). \fBWeek\-ago\fP înseamnă 1 secundă
după miezul nopții exact acum 7 zile. \fBThis\-month\fP înseamnă 1 secundă după
miezul nopții în ziua 1 a lunii. \fBThis\-year\fP înseamnă 1 secundă după miezul
nopții în prima zi a primei luni.
.TP 
\fB\-ts\fP,\ \fB\-\-start\fP\ [\fIdata\-început\fP]\ [\fIora\-început\fP]
Caută evenimente cu marcaje temporale egale sau ulterioare datei de începere
specificate. Formatul datei de începere depinde de configurația
regională. Puteți verifica formatul configurației regionale executând \fBdate \(aq+%x\(aq\fP). Dacă data este omisă, se presupune \fBtoday\fP (astăzi). Dacă
ora este omisă, se presupune \fBmidnight\fP (miezul nopții). Utilizați ora în
format de 24 de ore în loc de AM sau PM pentru a specifica ora. Un exemplu
de dată utilizând configurația regională en_US.utf8 este 09/03/2009. Un
exemplu de oră este 18:00:00. Formatul de dată acceptat este influențat de
variabila de mediu LC_TIME.

De asemenea, puteți utiliza cuvintele: \fBnow\fP (acum), \fBrecent\fP (recent),
\fBthis\-hour\fP (această oră), \fBboot\fP (pornire), \fBtoday\fP (astăzi),
\fByesterday\fP (ieri), \fBthis\-week\fP (săptămâna aceasta), \fBweek\-ago\fP
(săptămâna trecută), \fBthis\-month\fP (luna aceasta), \fBthis\-year\fP (anul
acesta). \fBNow\fP înseamnă începând de acum. \fBRecent\fP înseamnă acum 10
minute. \fBBoot\fP înseamnă ora exactă, la secundă, la care sistemul a fost
pornit ultima dată. \fBToday\fP înseamnă acum. \fBYesterday\fP înseamnă 1 secundă
după miezul nopții din ziua precedentă. \fBThis\-week\fP înseamnă începând cu 1
secundă după miezul nopții din ziua 0 a săptămânii determinate de
configurația regională (vedeți \fBlocaltime\fP). \fBWeek\-ago\fP înseamnă 1 secundă
după miezul nopții exact acum 7 zile. \fBThis\-month\fP înseamnă 1 secundă după
miezul nopții în ziua 1 a lunii. \fBThis\-year\fP înseamnă 1 secundă după miezul
nopții în prima zi a primei luni.
.sp
\fBcheckpoint\fP înseamnă că \fIausearch\fP va utiliza marca temporală găsită
într\-un fișier de puncte de verificare valid, ignorând nodul\-i,
dispozitivul, seria, nodul și tipul de eveniment înregistrate, care se
găsesc, de asemenea, într\-un fișierde puncte de verificare (checkpoint). În
esență, aceasta este acțiunea de recuperare în cazul în care o invocare a
\fIausearch\fP cu o opțiune „checkpoint” (de punct de verificare) eșuează cu o
stare de ieșire de 10, 11 sau 12. Ar putea fi utilizată într\-un script
shell, de exemplu:
.sp
.in +5
.nf
.na
ausearch \-\-checkpoint /etc/audit/auditd_checkpoint.txt \-i
_au_status=$?
if test ${_au_status} eq 10 \-o ${_au_status} eq 11 \-o ${_au_status} eq 12
then
  ausearch \-\-checkpoint /etc/audit/auditd_checkpoint.txt \-\-start checkpoint \-i
fi
.ad
.fi
.in -5
.TP 
\fB\-tm\fP,\ \fB\-\-terminal\fP\ \fIterminal\fP
Caută un eveniment care corespunde valorii \fIterminal\fP date. Unii demoni,
precum cron și atd, utilizează numele demonului pentru terminal.
.TP 
\fB\-ua\fP,\ \fB\-\-uid\-all\fP\ \fIid\-utilizator\fP
Caută un eveniment cu ID\-ul utilizatorului, ID\-ul utilizatorului efectiv sau
ID\-ul utilizatorului de conectare (auid) care corespunde cu ID\-ul
utilizatorului dat.
.TP 
\fB\-ue\fP,\ \fB\-\-uid\-effective\fP\ \fIid\-utilizator\-efectiv\fP
Caută un eveniment cu ID\-ul de utilizator efectiv \fIid\-utilizator\-efectiv\fP
dat.
.TP 
\fB\-ui\fP,\ \fB\-\-uid\fP\ \fIid\-utilizator\fP
Caută un eveniment cu ID\-ul de utilizator \fIid\-utilizator\fP dat.
.TP 
\fB\-ul\fP,\ \fB\-\-loginuid\fP\ \fIid\-autentificare\fP
Caută un eveniment cu ID\-ul de utilizator \fIid\-autentificare\fP dat. Toate
programele de intrare care sunt „PAMificate” trebuie configurate cu
pam_loginuid necesar pentru sesiune, pentru ca căutarea pe loginuid (auid)
să fie precisă.
.TP 
\fB\-uu\fP,\ \fB\-\-uuid\fP\ \fIuuid\-invitat\fP
Caută un eveniment cu \fIUUID\-ul invitatului\fP dat.
.TP 
\fB\-v\fP,\ \fB\-\-version\fP
Afișează versiunea și iese
.TP 
\fB\-vm\fP,\ \fB\-\-vm\-name\fP\ \fInume\-invitat\fP
Caută un eveniment cu numele de invitat \fInume\-invitat\fP dat.
.TP 
\fB\-w\fP,\ \fB\-\-word\fP
Potrivirile bazate pe șiruri trebuie să corespundă întregului
cuvânt. Această categorie de potriviri include: nume de fișier, nume de
gazdă, terminal, chei și context SE Linux.
.TP 
\fB\-x\fP,\ \fB\-\-executable\fP\ \fIexecutabil\fP
Caută un eveniment care corespunde numelui \fIexecutabil\fPui dat.

.SH "STARE DE IEȘIRE"
.TP  5
0
dacă totul este OK,
.TP 
1
dacă nu se găsește nimic, sau erori de argument sau erori minore de
acces/citire a fișierelor,
.TP 
10
date de control nevalide găsite în fișierul punctelor de verificări,
.TP 
11
eroare la procesarea punctului de verificare,
.TP 
12
evenimentul punctului de verificare nu a fost găsit în fișierul jurnal
corespunzător
.SH NOTĂ
Opțiunea de timp de pornire este o funcție convenabilă și are
limitări. Timpul calculat se bazează pe ora actuală minus /proc/uptime. Dacă
după pornire ceasul sistemului a fost ajustat, poate prin ntp, atunci
calculul poate fi greșit. În acest caz, va trebui să specificați ora
complet. Puteți verifica data+ora care trebuie utilizată rulând:

date \-d "`cut \-f1 \-d. /proc/uptime` seconds ago"

.SH EXEMPLE
.nf
Caută un utilizator specific:
# ausearch \-\-start today \-\-loginuid john \-i

Verifică jurnalul SELinux pentru a vedea dacă au existat refuzuri astăzi.
# ausearch \-\-start today \-m avc \-i

Afișează orice jurnal SELinux recent
# ausearch \-m avc,user_avc,selinux_err,user_selinux_err \-i \-ts recent

Jurnale de ieșire în format text
# ausearch \-\-start today \-\-format text

Evenimente TTY de ieșire interpretate și eludate shelln
# ausearch \-\-start today \-m TTY \-i \-\-escape shell_quote

.SH "CONSULTAȚI ȘI"
\fBauditd\fP(8), \fBauditd.conf\fP(5), \fBaureport\fP(8), \fBpam_loginuid\fP(8).
.PP
.SH TRADUCERE
Traducerea în limba română a acestui manual a fost făcută de
Remus-Gabriel Chelu <remusgabriel.chelu@disroot.org>
.
.PP
Această traducere este documentație gratuită; citiți
.UR https://www.gnu.org/licenses/gpl-3.0.html
Licența publică generală GNU Versiunea 3
.UE
sau o versiune ulterioară cu privire la condiții privind drepturile de autor.
NU se asumă NICIO RESPONSABILITATE.
.PP
Dacă găsiți erori în traducerea acestui manual,
vă rugăm să trimiteți un e-mail la
.MT translation-team-ro@lists.sourceforge.net
.ME .