監査レコードは、一連の監査トークンです。監査トークンには、ユーザー ID、時刻、日付などのイベント情報が入っています。監査レコードは、header トークンで始まり、オプションの trailer トークンで終わります。ほかの監査トークンには、監査イベントに関連する情報が入っています。次の図は、標準的な監査レコードを示しています。
監査レコード分析には、監査トレールのレコードの事後選択が必要です。次の 2 つの方法のうちのいずれかを使用して、収集されたバイナリデータを解析できます。
バイナリデータストリームを解析します。データストリームを解析するには、各トークン内のフィールドの順番と各レコード内のトークンの順番を知る必要があります。また、さまざまな監査レコードを知る必要もあります。たとえば、ioctl() システムコールは、「Invalid file descriptor」の監査レコードからのさまざまなトークンを含む「Bad file name」の監査レコードを作成します。
各監査トークン内のバイナリデータの順番については、audit.log(4) のマニュアルページを参照してください。
監査レコード内のトークンの順番の説明については、bsmrecord コマンドを使用してください。bsmrecord コマンドによる出力には、さまざまな条件で発生するさまざまな形式が示されます。角括弧 ([]) は、監査トークンが省略可能であることを表しています。詳細は、bsmrecord(1M) のマニュアルページを参照してください。例については、「監査レコードの書式の表示方法」を参照してください。
praudit コマンドを使用します。コマンドのオプションにより、さまざまなテキスト出力が得られます。たとえば、praudit -x コマンドを使用すると、スクリプトとブラウザへの入力のための XML が得られます。praudit 出力には、単にバイナリデータの解析に使用するためだけのフィールドは含まれません。出力は、バイナリフィールドの順番どおりではありません。また、praudit 出力の順番と形式は、Solaris リリース間で保証されているわけでもありません。
praudit 出力の例については、「バイナリ監査ファイルの内容を表示する方法」、および praudit(1M) のマニュアルページを参照してください。
監査トークンごとの praudit 出力については、「監査トークンの形式」セクションでそれぞれのトークンを参照してください。