Tentando ser mais fluente com o SELinux, parece que
sealert -l <local-id>
seria uma maneira particularmente útil de obter ajuda com as denúncias registradas.
Pelo que entendi, os IDs locais costumavam ser registrados em /var/log/messages . Mas no Fedora 23, isso se tornou a saída de journalctl .
Ambos na saída de journalctl e em /var/log/audit/audit.log , vejo mensagens como
type=AVC msg=audit(1450844231.007:161): avc: denied { getattr } for pid=840 comm="nginx" path="/home/web/fallback/index.html" dev="vda1" ino=1448751 scontext=system_u:system_r:httpd_t:s0 tcontext=unconfined_u:object_r:home_root_t:s0 tclass=file permissive=0
que não incluem o ID local. O ID local deve ser derivável dessa informação, porque
sealert -a /var/log/audit/audit.log
analisa o arquivo de log completo e gera os IDs locais. Mas isso é lento e complicado, quando eu gostaria de informações em apenas um evento.
Existe alguma maneira fácil de encontrar o ID local de uma negação registrada no Fedora 23, ou uma maneira igualmente fácil de obter a mensagem sealert para um item de log específico em audit.log sem ter que analisar o arquivo inteiro e vasculhar saída longa?
Muito obrigado.