特定のファイルに対する変更の監査レコードを検索する方法

/etc/passwd や /etc/default ディレクトリ内のファイルなど、限られた数のファイルに対するファイル書き込みを記録する場合、auditreduce コマンドを使用してファイルを見つけます。

1. fw クラスを監査します。

   audit_user ファイルにクラスを追加すると、audit_control ファイルにクラスを追加する場合よりも、生成されるレコードが少なくなります。

   • fw クラスを audit_user ファイルに追加します。

     ## audit_user file root:fw:no sysadm:fw:no auditadm:fw:no netadm:fw:no

   • fw クラスを audit_control ファイルに追加します。

     ## audit_control file flags:lo,fw ...

2. 特定のファイルの監査レコードを検索するには、auditreduce コマンドを使用します。

   # /usr/sbin/auditreduce -o file=/etc/passwd,/etc/default -O filechg

   auditreduce コマンドは、file 引数のすべてのインスタンスについて監査証跡を検索します。このコマンドにより、接尾辞 filechg を持つバイナリファイルが作成されます。このファイルには、必要なファイルのパス名を含むすべてのレコードが含まれています。-o file=pathname オプションの構文については、auditreduce(1M) のマニュアルページを参照してください。

3. filechg ファイルを読み取るには、praudit コマンドを使用します。

   # /usr/sbin/praudit *filechg