audit ファイルを組み合わせて縮小する方法
auditreduce を使用すると、組み合わせと削除を自動的に実行できますが (auditreduce(1M) のマニュアルページの -C、-D オプションを参照)、通常はファイルを手作業で (find を使用して) 選択し、指定したファイルセットを auditreduce を使用して組み合わせる方が簡単です。この方法で auditreduce を使用すると、入力ファイル内のすべてのレコードがマージされて、1 つの出力ファイルにまとめられます。その後に、入力ファイルを削除し、auditreduce で検索できるように、出力ファイルをディレクトリ /etc/security/audit/server-name/files に保存する必要があります。
# auditreduce -O combined-filename
また、auditreduce プログラムでは、入力ファイルを組み合わせるときに不要なレコードを除去して、出力ファイル内のレコード数を削減できます。完全な監査トレールを検索する必要がある場合にはバックアップテープから回復できることを前提にして、ログインとログアウトイベントを除いた、数カ月のすべてのレコードを auditreduce を使用して削除するようなこともあります。
# auditreduce -O daily.summary -b 19930513 -c lo; compress *daily.summary # mv *daily.summary /etc/security/summary.dir
- © 2010, Oracle Corporation and/or its affiliates