Estou tentando ler o arquivo /var/log/audit/audit.log no centos7. Eu vim com o comando
sealert -a /var/log/audit/audit.log
que funciona bem em uma máquina, há uma varredura inicial que leva cerca de dois segundos, mas em outra, a varredura continua por cerca de 30 minutos e ainda está em 40%. Não pode ser parado por ctrl - c . Eu também tentei remover audit.log , então está quase vazio, mas não houve aceleração.
Ambas as máquinas são virtuais e funcionam no mesmo host
Descobri que muitos alertas foram gerados pelo meu apache, por isso desabilitei o selinux usando
setenforce 0
e removeu os antigos arquivos audit.log.X , mas ainda é lento (e continua diminuindo para que nunca termine) sealert process está usando um núcleo permanentemente a 25% da CPU e 1gig de RAM.
existe alguma outra maneira que eu possa analisar os arquivos de log do selinux de cli?