終了していない (not_terminated) 監査ファイルを処分する方法

1. ラベル admin_high でシステム管理者になって、 /etc/security/audit_data ファイルを確認して、監査デーモンの現在のプロセス番号を判断します。

   そのプロセスが実行中の場合や audit_data(4) の中のファイル名が問題のファイルと同じ名前の場合には、ファイルを処分しないでください。

2. auditreduce コマンドに -O (大文字の O) オプションを付けて実行します。

3. -O の引数として、ワークステーション名と不完全なファイル名を指定します。もとのレコードを削除するためには、-D オプションを使います。

   $ auditreduce -O workstation 19970413120429.not_terminated.workstation

   すると、正しい名前の新しい監査ファイルが作成され、他の監査ファイルのポインタが再配置され、すべてのレコードが新しいファイルにコピーされます。終了時刻はコマンドが実行された時刻です。また、正しい接尾辞は workstation で明確に規定します。

4. -D オプションを使わなかった場合は、新しいファイルにもとのファイルのレコードが入っていることを確認してから、もとのファイルを削除します。

   $ ls -l 19970413120429*.workstation $ rm 19970413120429.not_terminated*