请告诉我们如何提高我们的文档：

过于简略
不易阅读或难以理解
重要信息缺失
错误的内容
需要翻译的版本
--选择-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) 其他语言 其他

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。 您是否愿意参与我们的内容改进并提供进一步的意见？

前往问卷调查不。谢谢。

auditrecord

- 显示 Solaris 审计记录格式

用法概要

/usr/sbin/auditrecord [-d] [ [-a] | [-e string] | [-c class] |
      [-i id] | [-p programname] | [-s systemcall] | [-h]]

描述

auditrecord 实用程序显示 audit_event(4) 中定义的审计记录事件类型的事件 ID、审计类和选择掩码以及记录格式。可以使用 auditrecord 生成所有审计记录格式的列表，或者基于事件类、事件名称、生成程序名称、系统调用名称或事件 ID 选择审计记录格式。

有两种输出格式。缺省格式适用于在终端窗口中进行显示；可选的 HTML 格式适用于使用 Web 浏览器进行查看。

方括号 ([ ]) 中的标记是可选的，可能不会在每个记录中都提供。

选项

支持以下选项：

-a

列出所有审计记录。

-c class

列出 class 选择的所有审计记录。class 是 /etc/security/audit_class 文件中的双字符类代码之一。

-d

调试模式。显示 audit_event 中定义的审计记录数目、audit_class 中定义的类数目、两个文件之间的任何不匹配项，以及用于定义相关事件的报告，这些事件不包含可供 auditrecord 使用的格式信息。

-e string

列出事件 ID 标签中包含字符串 string 的所有审计记录。匹配项不区分大小写。

-h

以 HTML 格式生成输出。

-i id

列出包含数字事件 ID id 的审计记录。

-p programname

列出程序 programname 生成的所有审计记录，例如，用户空间程序生成的审计记录。

-s systemcall

列出系统调用 systemcall 生成的所有审计记录，例如，某个系统调用生成的审计记录。

-p 和 -s 选项是代表同一内容的不同名称，它们是互斥的。如果给定了 -c、-e、-i、-p 或 -s 中的任一个，将忽略 -a 选项。-c、-e、-i 以及 -p 或 -s 通过“与”逻辑关系组合在一起。

示例

示例 1 显示具有指定事件 ID 的审计记录

以下示例说明如何显示指定审计记录的内容。

% auditrecord -i 6152
  terminal login
  program     /usr/sbin/login      see login(1)
              /usr/dt/bin/dtlogin  See dtlogin
  event ID    6152                 AUE_login
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

示例 2 显示事件 ID 标签中包含指定字符串的审计记录

以下示例说明如何显示事件 ID 标签中包含字符串 login 的审计记录的内容。

# auditrecord -e login
terminal login
  program     /usr/sbin/login      see login(1)
              /usr/dt/bin/dtlogin  See dtlogin
  event ID    6152                 AUE_login
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

rlogin
  program     /usr/sbin/login      see login(1) - rlogin
  event ID    6155                 AUE_rlogin
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

退出状态

0

操作成功

非零值

错误

文件

/etc/security/audit_class

提供有效类以及关联审计掩码的列表。

/etc/security/audit_event

提供数字事件 ID、文本事件名称以及关联的系统调用或程序的名称。

属性

有关下列属性的说明，请参见 attributes(5)：

另请参见

auditconfig(1M)、praudit(1M)、audit.log(4)、audit_class(4)、audit_event(4)、attributes(5)

请参见《《Oracle Solaris 11.1 管理：安全服务》》中有关审计的章节。

诊断

如果无法读取其输入文件或写入其输出文件，auditrecord 将显示导致其失败的文件的名称，然后退出并返回一个非零值。

如果未提供任何选项、提供了无效选项，或者同时提供了 -s 和 -p，将显示一条错误消息，此时 auditrecord 将显示用法消息，然后退出并返回一个非零值。

附注

此命令以前称为 bsmrecord。

如果已修改 /etc/security/audit_event 以添加用户定义的审计事件，auditrecord 会将记录格式显示为 undefined。

auditrecord 显示的审计记录是可以生成的记录的核心。还可能会提供各种审计策略和可选标记，例如以下所示各项。

下表列出了 praudit(1M) 标记名称及其说明。

group

设置 group 审计策略时提供。

sensitivity label

在 Trusted Extensions 已启用且代表其关联主题或对象的标签时提供。mandatory_label 标记记录在显式包含标签的基本审计记录中。

sequence

设置 seq 审计策略时提供。

trailer

设置 trail 审计策略时提供。

zone

设置 zonename 审计策略时生成记录的区域的名称。zonename 标记记录在显式包含区域名称的基本审计记录中。