| 跳过导航链接 | |
| 退出打印视图 | |
|
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
审计记录是一系列的审计标记。每个审计标记都包含用户 ID、时间和日期等事件信息。审计记录以 header 标记,以可选的 trailer 标记结束。其他审计标记包含与审计事件相关的信息。下图显示了典型内核审计记录和典型用户级审计记录。
图 29-1 典型的审计记录结构
审计记录分析涉及从审计迹中后选记录。可以使用两种方法之一来解析收集的二进制数据。
您可以使用 praudit 命令。该命令的选项提供不同的文本输出。例如,praudit -x 命令可以为脚本和浏览器中的输入提供 XML。praudit 输出不包括仅用于帮助解析二进制数据的字段。请注意,无法保证 Oracle Solaris 发行版之间 praudit 输出的顺序和格式完全相同。
有关 praudit 输出的示例,请参见如何查看二进制审计文件的内容。
有关每个审计标记的 praudit 输出的示例,请参见审计标记格式中的各个标记。
您可以编写程序来解析二进制数据流。此程序必须考虑审计记录的变体。例如,ioctl() 系统调用会创建 "Bad file name"(错误的文件名称)的审计记录。该记录包含 "Invalid file descriptor"(无效的文件说明符)的 ioctl() 审计记录的不同标记。
有关每个审计标记中的二进制数据顺序的说明,请参见 audit.log(4) 手册页。
有关清单值,请参见 /usr/include/bsm/audit.h 文件。
要查看审计记录中的标记顺序,请使用 auditrecord 命令。auditrecord 命令的输出包括不同清单值的不同标记。方括号 ([]) 表明,审计标记是可选的。有关更多信息,请参见 auditrecord(1M) 手册页。
|