監査ファイルの名前の付け方
start-time.finish-time.workstation
ここで「開始時刻」(start-time) は、その監査ファイルの最初の監査レコードの時刻、「終了時刻」(finish-time) は最後のレコードの時刻、workstation はそのファイルが生成されたワークステーションの名前です。名前の例は、 「監査の終了した監査ファイル名の例」にあります。
監査ログファイルがまだアクティブである間、監査ファイル名は次の書式をとります。
start-time.not_terminated.workstation
監査ファイル名の使用
auditreduce コマンドは、ファイル名のタイムスタンプを使って、 指定した時間帯のレコードを持つファイルを探します。たとえば、24 時間以内に生成されたレコードを探すために 1 ヶ月分以上の監査ファイル全部を検索するのは無意味です。こうした場合に、auditreduce のような機能が重要になってきます。
時刻表示の書式と解釈
「開始時刻」(start-time) と「終了時刻」(finish-time) は、グリニッジ平均時で 秒単位まで表示されます。書式は、最初の 4 桁で年を表し、これに続く 2 桁ずつで月、日、時間、分、秒を表します。
YYYYMMDDHHMMSS
グリニッジ平均時で時刻表示することにより、夏時間の前後でも正確な順序でファイルを整列させることができます。グリニッジ平均時で表された時刻を現在のタイムゾーンの時刻に変換して判断してください。特に、auditreduce 以外の標準的なファイルコマンドでファイルを操作するときには注意が必要です。
まだアクティブなファイルの名前
YYYYMMDDHHMMSS.not_terminated.hostname
次に例を示します。
19900327225243.not_terminated.patchwork
監査ログファイルの名前には開始時刻が付いています。たとえば、上の例では、グリニッジ平均時で 1997 年 3 月 27 日の午後 10 時 52 分 43 秒に監査が開始されたことになります。「not_terminated」は、このファイルがまだアクティブであるか、auditd が予期しない割り込みを受けていることを表しています。末尾の「patchwork」は、監査データが収集されているホストの名前です。
監査の終了した監査ファイル名の例
YYYYMMDDHHMMSS.YYYYMMDDHHMMSS.hostname
次に例を示します。
19970320005243.19970327225351.patchwork
上の例では、グリニッジ平均時で 1997 年 3 月 20 日の午前 0 時 52 分 43 秒に監査が開始され、グリニッジ平均時で 3 月 27 日の午後 10 時 53 分 51 秒に完了しています。「patchwork」 は、監査データが収集されているワークステーションのホスト名です。
- © 2010, Oracle Corporation and/or its affiliates