大量 AVC denied 日志的 ausearch -m avc -ts recent 快速过滤脚本

该脚本通过ausearch与awk实现avc拒绝事件的去重聚合与关键字段精简，仅保留scontext、tcontext、tclass、perm及path/name，剔除冗余信息，提升selinux故障排查效率。

<p>直接用 <strong>ausearch -m avc -ts recent</strong> 查 AVC 日志虽然快，但默认输出包含大量重复、无关或低价值条目（比如同一路径被多次拒绝的 audit 记录），人工筛查效率低。下面是一个轻量、即用的过滤脚本，聚焦真正需要关注的策略冲突点。</p>

<H3>核心过滤逻辑：去重 + 聚合 + 关键字段精简</H3>
<p>不依赖外部工具（如 awk 复杂脚本或 python），纯 shell 实现，适配大多数 RHEL/CentOS/Fedora 系统：</p><div class="aritcle_card flexRow">
                                                        <div class="artcardd flexRow">
                                                                <a class="aritcle_card_img" href="/ai/1009" title="人声去除"><img
                                                                                src="https://img.php.cn/upload/ai_manual/001/503/042/68b6cdd500098735.jpeg" alt="人声去除"  onerror="this.onerror='';this.src='/static/lhimages/moren/morentu.png'" ></a>
                                                                <div class="aritcle_card_info flexColumn">
                                                                        <a href="/ai/1009" title="人声去除">人声去除</a>
                                                                        <p>用强大的AI算法将声音从音乐中分离出来</p>
                                                                </div>
                                                                <a href="/ai/1009" title="人声去除" class="aritcle_card_btn flexRow flexcenter"><b></b><span>下载</span> </a>
                                                        </div>
                                                </div>
<font color="#666">
<pre class="brush:php;toolbar:false;">
#!/bin/bash
# avc-filter.sh — 快速提取高信息量 AVC 拒绝事件
ausearch -m avc -ts recent 2>/dev/null | \
awk -F': ' '
/avc:.*denied/ {
    # 提取关键字段：类型、操作、目标、路径（若存在）
    for(i=1; i<=NF; i++) {
        if($i ~ /scontext=/) sctx = $i
        else if($i ~ /tcontext=/) tctx = $i
        else if($i ~ /tclass=/) tcls = $i
        else if($i ~ /perm=/ || $i ~ /perms=/) perm = $i
        else if($i ~ /name="/) name = $i
        else if($i ~ /path=/) path = $i
    }
    # 合并为唯一签名（忽略时间戳和 pid 等易变字段）
    sig = sctx " " tctx " " tcls " " perm " " ((path!="")?path:name)
    if(!seen[sig]++) print sig
}'

使用方式（复制即用）

• 终端中直接运行：bash -c 'ausearch -m avc -ts recent 2>/dev/null | awk -F\": \" \"/avc:.*denied/{...}"'（把上面 awk 部分粘贴进去）
• 保存为 avc-filter.sh，加执行权限：chmod +x avc-filter.sh，然后运行 ./avc-filter.sh
• 想看最近 5 分钟：把 -ts recent 换成 -ts $(date -d "5 minutes ago" "+%m/%d/%H:%M:%S")

为什么这样过滤更有效

• 按策略签名去重：相同 scontext/tcontext/tclass/perms/path 组合只报一次，避免同一问题刷屏
• 保留上下文关键项：SELinux 上下文（scontext/tcontext）、访问类型（tclass）、被拒动作（perm）、目标路径（path）全在一行，方便快速定位是哪个服务、哪个文件、什么权限出问题
• 跳过无意义字段：不显示 avc 消息头、pid、comm、exe 等次要信息，减少视觉干扰
• 兼容性好：仅依赖 ausearch 和 awk，无需安装 semanage、sesearch 或其他 SELinux 工具链

后续建议：配合 sealert 快速诊断

拿到过滤后的关键 AVC 行，可直接喂给 sealert 获取修复建议：

# 示例：对某条过滤结果生成分析
echo "scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:admin_home_t:s0 tclass=dir perms=search" | sealert -a /dev/stdin

它会告诉你是否已有对应 boolean、是否要改标签、是否需自定义策略模块，比纯看日志高效得多。