auditreduce 命令

auditreduce 命令可汇总以二进制格式存储的审计记录。此命令可以合并来自一个或多个输入审计文件的审计记录，还可以用于执行后选审计记录。这些记录仍保持二进制格式。要合并整个审计跟踪，请在审计服务器上运行此命令。审计服务器是指挂载了用于安装的所有审计文件系统的系统。有关更多信息，请参见 auditreduce(1M) 手册页。

使用 auditreduce 命令，可以从一个位置跟踪多个系统上的所有已审计的操作。此命令可以将所有审计文件的逻辑组合作为一个审计跟踪单元进行读取。您必须对站点上要进行审计的所有系统进行相同的配置，并为审计文件创建服务器和本地目录。auditreduce 命令会忽略记录的生成方式或记录的存储位置。如果不使用选项，则 auditreduce 命令将合并审计根目录内所有子目录中的所有审计文件的审计记录。通常，/etc/security/audit 为审计根目录。auditreduce 命令将已合并的结果发送到标准输出。 您也可以将这些结果放入按时间顺序排列的单个输出文件中。 此文件包含二进制数据。

auditreduce 命令还可以选择特定的记录类型进行分析。 auditreduce 命令的合并功能和选择功能在逻辑上是相互独立的。在系统合并输入文件并将其写入磁盘之前，auditreduce 命令将在系统读取记录时从这些文件中捕获数据。

通过为 auditreduce 命令指定选项，还可以执行以下操作：

• 请求已由指定的审计类生成的审计记录

• 请求已由某个特定用户生成的审计记录

• 请求已在特定日期生成的审计记录

如果不使用参数，则 auditreduce 命令将检查 /etc/security/audit 目录（缺省审计根目录）中的子目录，它还会检查 start-time.end-time.hostname 文件所在的 files 目录。auditreduce 命令对于审计数据位于不同目录的情况非常有用。图 30–1 显示了不同主机上不同目录中的审计数据。图 30–2 显示了不同审计服务器上不同目录中的审计数据。

图 30–1 按主机排序的审计跟踪存储

图 30–2 按服务器排序的审计跟踪存储

如果用于 /etc/security/audit 目录的分区非常小，则可能无法在缺省目录中存储审计数据。可以使用 -R 选项将 auditreduce 命令传递到其他目录：

# auditreduce -R /var/audit-alt 

还可以使用 -S 选项指定特定的子目录：

# auditreduce -S /var/audit-alt/host1 

有关其他选项和更多示例，请参见 auditreduce(1M) 手册页。