该脚本通过ausearch与awk实现AVC拒绝事件的去重聚合与关键字段精简,仅保留scontext、tcontext、tclass、perm及path/name,剔除冗余信息,提升SELinux故障排查效率。
直接用 ausearch -m avc -ts recent 查 AVC 日志虽然快,但默认输出包含大量重复、无关或低价值条目(比如同一路径被多次拒绝的 audit 记录),人工筛查效率低。下面是一个轻量、即用的过滤脚本,聚焦真正需要关注的策略冲突点。
核心过滤逻辑:去重 + 聚合 + 关键字段精简
不依赖外部工具(如 awk 复杂脚本或 python),纯 shell 实现,适配大多数 RHEL/CentOS/Fedora 系统:
#!/bin/bash # avc-filter.sh — 快速提取高信息量 AVC 拒绝事件 ausearch -m avc -ts recent 2>/dev/null | \ awk -F': ' ' /avc:.*denied/ { # 提取关键字段:类型、操作、目标、路径(若存在) for(i=1; i<=NF; i++) { if($i ~ /scontext=/) sctx = $i else if($i ~ /tcontext=/) tctx = $i else if($i ~ /tclass=/) tcls = $i else if($i ~ /perm=/ || $i ~ /perms=/) perm = $i else if($i ~ /name="/) name = $i else if($i ~ /path=/) path = $i } # 合并为唯一签名(忽略时间戳和 pid 等易变字段) sig = sctx " " tctx " " tcls " " perm " " ((path!="")?path:name) if(!seen[sig]++) print sig }'使用方式(复制即用)
- 终端中直接运行:
bash -c 'ausearch -m avc -ts recent 2>/dev/null | awk -F\": \" \"/avc:.*denied/{...}"'(把上面 awk 部分粘贴进去)- 保存为
avc-filter.sh,加执行权限:chmod +x avc-filter.sh,然后运行./avc-filter.sh- 想看最近 5 分钟:把
-ts recent换成-ts $(date -d "5 minutes ago" "+%m/%d/%H:%M:%S")为什么这样过滤更有效
- 按策略签名去重:相同 scontext/tcontext/tclass/perms/path 组合只报一次,避免同一问题刷屏
- 保留上下文关键项:SELinux 上下文(scontext/tcontext)、访问类型(tclass)、被拒动作(perm)、目标路径(path)全在一行,方便快速定位是哪个服务、哪个文件、什么权限出问题
- 跳过无意义字段:不显示 avc 消息头、pid、comm、exe 等次要信息,减少视觉干扰
- 兼容性好:仅依赖 ausearch 和 awk,无需安装 semanage、sesearch 或其他 SELinux 工具链
后续建议:配合 sealert 快速诊断
拿到过滤后的关键 AVC 行,可直接喂给
sealert获取修复建议:
# 示例:对某条过滤结果生成分析 echo "scontext=system_u:system_r:httpd_t:s0 tcontext=system_u:object_r:admin_home_t:s0 tclass=dir perms=search" | sealert -a /dev/stdin它会告诉你是否已有对应 boolean、是否要改标签、是否需自定义策略模块,比纯看日志高效得多。
