跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
每个二进制审计文件都是自包含的记录集合。文件的名称标识生成记录的时间跨度以及生成这些记录的系统。
start-time.end-time.system
审计文件中第一条审计记录的生成时间
最后一条记录写入文件的时间
生成文件的系统的名称
start-time.not_terminated.system
有关 not_terminated 和关闭的审计文件名称的示例,请参见如何清除 not_terminated 审计文件。
文件名中的时间戳可供 auditreduce 命令用来查找特定时间范围内的记录。由于可以在线累积一个月或更长时间的审计文件,因此,这些时间戳非常重要。要搜索在过去 24 小时内生成的记录的所有文件将需要很高的花费。
start-time 和 end-time 是具有 1 秒分辨率的时间戳,以格林威治标准时间 (Greenwich Mean Time, GMT) 指定。格式是以四位数字表示年,后面分别以两位数字表示月、日、小时、分钟和秒,如下所示:
YYYYMMDDHHMMSS
以 GMT 表示时间戳可确保即使跨越不同的时区,也可以按照正确的顺序对这些时间戳排序。由于时间戳以 GMT 表示,因此,必须将日期和小时转换为当前时区才有意义。每当使用标准文件命令而不是 auditreduce 命令来处理这些文件时,都要切记这一点。