/etc/passwd や /etc/default ディレクトリ内のファイルなど、限られた数のファイルに対するファイル書き込みを記録する場合、auditreduce コマンドを使用してファイルを見つけます。
fw クラスを監査します。
audit_user ファイルにクラスを追加すると、audit_control ファイルにクラスを追加する場合よりも、生成されるレコードが少なくなります。
特定のファイルの監査レコードを検索するには、auditreduce コマンドを使用します。
# /usr/sbin/auditreduce -o file=/etc/passwd,/etc/default -O filechg |
auditreduce コマンドは、file 引数のすべてのインスタンスについて監査証跡を検索します。このコマンドにより、接尾辞 filechg を持つバイナリファイルが作成されます。このファイルには、必要なファイルのパス名を含むすべてのレコードが含まれています。-o file=pathname オプションの構文については、auditreduce(1M) のマニュアルページを参照してください。
filechg ファイルを読み取るには、praudit コマンドを使用します。
# /usr/sbin/praudit *filechg |