跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
审计记录是一系列的审计标记。每个审计标记都包含用户 ID、时间和日期等事件信息。审计记录以 header 标记,以可选的 trailer 标记结束。其他审计标记包含与审计事件相关的信息。下图显示了典型的审计记录。
图 31-3 典型的审计记录结构
审计记录分析涉及从审计迹中事后选择记录。可以使用两种方法之一来解析收集的二进制数据。
可以解析二进制数据流。要解析数据流,需要了解每个标记中的字段顺序以及每条记录中的标记顺序,还需要了解审计记录的变体。例如,ioctl() 系统调用可针对 "Bad file name"(错误的文件名称)创建一条审计记录,此记录包含的标记与 "Invalid file descriptor"(无效的文件说明符)的审计记录中包含的标记不同。
有关每个审计标记中的二进制数据顺序的说明,请参见 audit.log(4) 手册页。
要了解审计记录中的标记顺序的说明,请使用 bsmrecord 命令。bsmrecord 命令的输出中包含在不同情况下出现的不同格式。方括号 ([]) 表明,审计标记是可选的。有关更多信息,请参见 bsmrecord(1M) 手册页。有关示例,另请参见如何显示审计记录格式。
您可以使用 praudit 命令。该命令选项提供不同的文本输出。例如,praudit -x 命令可以为脚本和浏览器中的输入提供 XML。praudit 输出不包括仅用于帮助解析二进制数据的字段。输出不一定按照二进制字段的顺序。此外,无法保证 Oracle Solaris 发行版之间 praudit 输出的顺序和格式完全相同。
有关 praudit 输出的示例,请参见如何查看二进制审计文件的内容和 praudit(1M) 手册页。
有关每个审计标记的 praudit 输出的说明,请参见审计标记格式部分中的各个标记。