auditのlogから欲しい情報を検索するために使えるausearchはとても便利です。 -kでkey fieldに設定した文字列を含む情報だけ抜き出すとか、–start, –endで指定した時間の情報だけ見るとかもできます。

しかし、crontab中でausearchを呼び出すと期待した結果が得られません。コマンドラインで実行するとちゃんと結果が出るのに何故？と私はハマりました。 そんな時は --input-logs オプションをつけて呼び出すか、-if <Input File name> オプションで読み込むlogファイルを指定することで、コマンドライン実行時と同じ結果が得られます。

ausearchのオプションを見るとちゃんと書いてあるんですけどね・・・・（汗