バイナリ監査ファイルの命名規則

各バイナリ監査ファイルは、自己完結したレコードの集合です。ファイル名には、レコードが生成された時間の範囲と、それを生成したシステム名が含まれます。

バイナリ監査ファイル名

完了した監査ファイルには、次の書式の名前が付いています。

start-time.end-time.system

start-time

監査ファイル内の最初の監査レコードが生成された時刻です

end-time

最後のレコードがファイルに書き込まれた時刻です

system

ファイルを生成したシステム名です

監査ファイルがアクティブである場合は、次の書式の名前が付いています。

start-time.not_terminated.system

not_terminated および閉じられた監査ファイルの名前の例については、「not_terminated 監査ファイルを整理する方法」を参照してください。

バイナリ監査ファイルのタイムスタンプ

auditreduce コマンドは、ファイル名に含まれるタイムスタンプを手掛かりにして、特定期間内のレコードを検索します。1 か月あるいはそれ以上蓄積された監査ファイルがオンライン上に存在する可能性もあるため、これらのタイムスタンプは重要な意味を持ちます。24 時間以内に生成されたレコードをすべてのファイルから検索するとなると、莫大な時間がかかることがあります。

start-time と end-time は 1 秒単位のタイムスタンプです。これらのタイムスタンプは、グリニッジ標準時 (GMT) で指定されます。タイムスタンプの書式は、次のように年が 4 桁で、2 桁ずつの月、日、時、分、秒があとに続きます。

YYYYMMDDHHMMSS

タイムスタンプには GMT が使用されるため、タイムゾーンによるずれがあっても正しい順序でソートされることが保証されます。また、日時を把握しやすいように現在の時間帯に変換する必要があります。監査ファイルを auditreduce コマンドではなく標準ファイルコマンドで操作するときには、この点に注意してください。