SELinux日志在Ubuntu哪查看

查看位置与前提条件

• 在启用 SELinux 的 Ubuntu 上，相关日志由 auditd 写入 /var/log/audit/audit.log，其中以 AVC（Access Vector Cache）记录为主。若未安装或未运行 auditd，将看不到 SELinux 的审计日志。另需注意，Ubuntu 默认不启用 SELinux，需先安装并启用相关组件后，日志才会出现在该路径。

常用查看命令

• 直接查看审计日志中的 SELinux 拒绝记录：
  • grep -i “denied” /var/log/audit/audit.log
• 使用 ausearch 按 AVC 类型检索（示例：今天、最近）：
  • sudo ausearch -m avc -ts today
  • sudo ausearch -m avc -ts recent -te now
• 生成 SELinux 审计报告：
  • sudo aureport -m avc
• 以上命令依赖 auditd 记录，如未安装/未运行，请先安装并启动 auditd。

没有日志时的排查

• 检查 SELinux 是否启用与运行模式：
  • sestatus
• 检查并启动 auditd 服务：
  • sudo systemctl status auditd
  • sudo systemctl start auditd
  • sudo systemctl enable auditd
• 若系统未安装 SELinux 相关包或未启用策略，请先完成安装与启用，再查看 /var/log/audit/audit.log。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！