如何清除 not_terminated 审计文件

有时，审计守护进程退出，而其审计文件仍处于打开状态。或者，某服务器不可访问，并强制计算机切换到新服务器。在这种情况下，虽然审计文件不再用于审计记录，但此文件还是以字符串 not_terminated 作为结束时间标记。使用 auditreduce -O 命令为此文件提供正确时间标记。

1. 在审计文件系统上，按照创建顺序列出带有 not_terminated 字符串的文件。

   # ls -R1t audit-directory*/files/* | grep not_terminated

   -R

   列出子目录中的文件。

   -t

   按照从最新到最旧的顺序列出文件。

   -1

   将文件列成一列。

2. 清除旧的 not_terminated 文件。

   将旧文件的名称指定到 auditreduce -O 命令。

   # auditreduce -O system-name old-not-terminated-file

3. 删除旧的 not_terminated 文件。

   # rm system-name old-not-terminated-file

示例 29–33 清除关闭的 not_terminated 审计文件

在以下示例中，查找并重命名 not_terminated 文件，然后删除原文件。

ls -R1t */files/* | grep not_terminated

…/egret.1/20030908162220.not_terminated.egret

…/egret.1/20030827215359.not_terminated.egret

# cd */files/egret.1

# auditreduce -O egret 20030908162220.not_terminated.egret

# ls -1t

20030908162220.not_terminated.egret 当前审计文件

20030827230920.20030830000909.egret 输入（旧）审计文件

20030827215359.not_terminated.egret

# rm 20030827215359.not_terminated.egret

# ls -1t

20030908162220.not_terminated.egret 当前审计文件

20030827230920.20030830000909.egret 已清除的审计文件

新文件上的开始时间标记反映 not_terminated 文件中第一个审计事件的时间。结束时间标记反映此文件中最后一个审计事件的时间。