如何合并审计跟踪中的审计文件
通过合并所有审计目录中的所有审计文件,可以分析整个审计跟踪的内容。auditreduce 命令将其输入文件中的所有记录合并到单个输出文件中。然后可以删除输入文件。将输出文件置于名为 /etc/security/auditserver-name/files 的目录中时,auditreduce 命令可以查找此输出文件,而无需指定全路径。
注 –
此过程仅适用于二进制审计记录。
-
承担拥有审计查看配置文件的角色或成为超级用户。
系统管理员角色拥有审计查看配置文件。另外,还可以创建拥有审计查看配置文件的单独用户。要创建角色并将其指定给用户,请参见配置 RBAC(任务列表)。
-
创建存储合并审计文件的目录。
# mkdir audit-trail-directory
-
限制对此目录的访问。
# chmod 700 audit-trail-directory # ls -la audit-trail-directory drwx------ 3 root sys 512 May 12 11:47 . drwxr-xr-x 4 root sys 1024 May 12 12:47 ..
-
合并审计跟踪中的审计记录。
转至 audit-trail-directory 目录并将审计记录合并到带有指定后缀的文件中。将合并在本地系统上 audit_control 文件中 dir 行列出的所有目录。
# cd audit-trail-directory # auditreduce -Uppercase-option -O suffix
auditreduce 命令的大写选项处理审计跟踪中的文件。大写选项包括以下内容:
- -A
-
选择审计跟踪中的所有文件。
- -C
-
只选择完整文件。此选项会忽略带有后缀 not_terminated 的文件。
- -M
-
选择带有特定后缀的文件。后缀可以是机器名,也可以是为摘要文件指定的后缀。
- -O
-
在当前目录中创建一个带有开始时间和结束时间的 14 字符时间标记以及后缀 suffix 的审计文件。
示例 29–23 将审计文件复制到摘要文件
在以下示例中,系统管理员角色 sysadmin 将所有文件从审计跟踪复制到合并文件中。
$ whoami sysadmin $ mkdir /var/audit/audit_summary.dir $ chmod 700 /var/audit/audit_summary.dir $ cd /var/audit/audit_summary.dir $ auditreduce -A -O All $ ls *All 20030827183214.20030827215318.All |
$ cd /var/audit/audit_summary.dir $ auditreduce -C -O Complete $ ls *Complete 20030827183214.20030827214217.Complete |
在以下示例中,只将完整文件从 example1 计算机复制到合并文件中。
$ cd /var/audit/audit_summary.dir $ auditreduce -M example1 -O example1summ $ ls *summ 20030827183214.20030827214217.example1summ |
示例 29–24 将审计文件移动到摘要文件
auditreduce 命令的 -D 选项会在您将审计文件复制到另一位置时将其删除。在以下示例中,会将一个系统中的完整审计文件复制到摘要目录以供以后检查。
$ cd /var/audit/audit_summary.dir $ auditreduce -C -O daily_example1 -D example1 $ ls *example1 20030827183214.20030827214217.daily_example1 |
当此命令成功完成时,将删除 example1 系统中的审计文件,这些审计文件是 *daily_example1 文件的输入。
- © 2010, Oracle Corporation and/or its affiliates