監査ファイルを削減する方法

auditreduce プログラムでは、入力ファイルを組み合わせる際に重要度の低いファイルを削除することによって、出力ファイル内のレコード数を減らすこともできます。

完全な監査トレールが必要になった場合はバックアップテープから復元できるので、auditreduce コマンドで、1 ヶ月以上前の監査ファイルの中からログインイベントとログアウトイベントを除く全イベントを削除します。次の例では、1997 年 4 月の監査レコードだけが選択されます。

$ auditreduce -m AUE_LOGIN -a 19970401000000 ¥ 
-b 19970501000000 ¥ 
-O /usr/audit_summary/logins_april97 

出力されるのは、1997 年 4 月のログインとログアウトのレコードだけを含むやや小さいファイルです。ここで終了時刻は、auditreduce コマンドを実行した日付け (グリニッジ平均時の 1997 年 6 月 1 日) であり、レコードが最後に併合された日付けではありません。コマンド行には、ディレクトリ名とともにファイル接尾辞 logins_april97 を指定しています。

/usr/audit_summary/19970401000000.19970601000000.logins_april97