ausearch -m avc -ts recent 刷屏因SELinux每次拒绝均记一条AVC日志,且-recent模糊匹配约10分钟、无秒级精度与去重机制,致高频同类拒绝重复输出;推荐用awk按scontext/tcontext/tclass/perm聚合计数,再sort排序取前20。
为什么 ausearch -m avc -ts recent 会刷屏式输出?
因为 SELinux 每次拒绝访问都会生成一条 AVC 日志,而 -ts recent 默认只按“最近”模糊匹配(通常约 10 分钟),在活跃系统上可能拉取数百条重复或相似的拒绝记录。更关键的是:-ts 不支持秒级精度,且不自动去重,导致同一类违规(比如多个进程反复尝试读 /etc/shadow)被当成独立事件罗列。
如何用脚本快速聚合高频 AVC 拒绝项?
核心是把原始日志转成可统计的字段化结构,再按关键维度(avc: denied 中的 {scontext}、{tcontext}、{tclass}、{perm})分组计数。推荐用 awk 流式处理,避免临时文件:
ausearch -m avc -ts recent 2>/dev/null | \
awk -F'[' '/avc: denied/ {
match($0, /scontext=([^ ]+)/, s); match($0, /tcontext=([^ ]+)/, t);
match($0, /tclass=([^ ]+)/, c); match($0, /perm=([^ )]+)/, p);
key = s[1] "|" t[1] "|" c[1] "|" p[1];
cnt[key]++
}
END {
for (k in cnt) {
print cnt[k] "\t" k
}
}' | sort -nr | head -20
这个脚本输出形如:47 unconfined_u:unconfined_r:unconfined_t:s0 unconfined_u:object_r:admin_home_t:s0 file read —— 表示该组合被拒绝了 47 次。
过滤时容易忽略的两个关键点
-
ausearch -m avc默认只查 auditd 日志,如果系统启用了auditctl -e 2(锁定模式)或日志被轮转清理过,-ts recent可能查不到新条目,需先确认ausearch -m avc -i -ts today | head -5是否有输出 - SELinux 的
permissive域也会产生 AVC 日志(只是不阻断),但ausearch无法区分 enforcing/permissive 来源;若要排除 permissive,得额外 grep 掉permissive=1字段,否则误判为“真实拦截”
要不要直接用 sealert -a /var/log/audit/audit.log?
可以,但别依赖它实时分析:sealert 是离线解析器,每次运行都全量扫描整个 audit.log,在日志大(>100MB)、磁盘慢的机器上卡顿明显;而且它默认只报“最可能的修复建议”,会合并相似 AVC,反而掩盖高频但低优先级的问题(比如某个容器反复尝试 sys_admin 能力)。真要定位瞬发问题,还是 ausearch + 简单 awk 更快更透明。
真正难的是把高频 AVC 映射到具体进程和配置——scontext 里的 pid 字段常被截断,得配合 ps -Z | grep $sid 或 cat /proc/$PID/attr/current 手动追查,这一步没法靠脚本全自动。
