审计记录是一系列审计标记。每个审计标记都包含事件信息,例如用户 ID、时间和日期。由 header 标记开始审计记录,可选的 trailer 标记结束记录。其他审计标记包含与审计事件相关的信息。下图显示了典型的审计记录。
审计记录分析涉及从审计跟踪中后选记录。可以使用两种方法之一来分析收集的二进制数据。
可以分析二进制数据流。要分析数据流,需要了解每个标记中的字段顺序以及每条记录中的标记顺序,还需要了解审计记录的变体。例如,ioctl() 系统调用可针对“错误的文件名称”创建一条审计记录,此记录包含的标记与“无效的文件说明符”的审计记录中包含的标记不同。
有关每个审计标记中的二进制数据顺序的说明,请参见 audit.log(4) 手册页。
要了解审计记录中的标记顺序的说明,请使用 bsmrecord 命令。bsmrecord 命令的输出中包含在不同情况下出现的不同格式。方括号 ([]) 指示审计标记是可选的。有关更多信息,请参见 bsmrecord(1M) 手册页。有关示例,另请参见如何显示审计记录格式。
您可以使用 praudit 命令。此命令的选项可提供不同的文本输出。例如,praudit -x 命令可以为脚本和浏览器中的输入提供 XML。praudit 输出不包括仅用于帮助分析二进制数据的字段。输出不一定遵照二进制字段的顺序。此外,无法保证 Solaris 发行版之间 praudit 输出的顺序和格式完全相同。
有关 praudit 输出的示例,请参见如何查看二进制审计文件的内容和 praudit(1M) 手册页。
有关每个审计标记的 praudit 输出的说明,请参见审计标记格式部分中的各个标记。