監査トレール設定の表示

auditwrite(3) ルーチンで生成した監査レコードなど、すべての監査レコードは、一連のバイナリファイルとして ADMIN_HIGH で監査トレールに記録されます。監査ファイルの位置は、/etc/security/audit_control ファイルで設定します。この位置は、デフォルトでは /var/audit です。praudit(1M) コマンドは、監査トレールファイルを読み取り、バイナリデータをユーザーが読める形式の監査レコードに変換します。

proc_audit_appl と proc_audit_tcb 特権を使用して、tail(1) コマンドと praudit(1M) コマンドを使用できる役割になります。端末を ADMIN_HIGH で開き、監査レコードが格納されているディレクトリに移動し、tail と praudit コマンドを次のように実行して現在の監査ファイルを表示します。

この構文は、*not_terminated* ファイルが 1 つ存在する場合だけ有効です。同名のファイルがほかにも存在する場合は、古いファイルを削除してからこのコマンドを実行してください。

phoenix% cd /var/audit
 phoenix% tail -0f *not_terminated* | praudit

監査デーモンは、監査パーティションに対し、定められた最大の容量に達するまで監査レコードを記録し、その後新しいファイルへの記録開始します。現在書き込みが行われているファイルは、not_terminated 監査ファイルです。どのファイルが使用中かを確認するには、/etc/security/audit_data ファイルを参照してください。