如何从审计跟踪中选择审计事件

可以过滤审计记录以便检查。有关过滤选项的完整列表，请参见 auditreduce(1M) 手册页。

1. 承担拥有审计查看配置文件的角色或成为超级用户。

   系统管理员角色拥有审计查看配置文件。另外，还可以创建拥有审计查看配置文件的单独用户。要创建角色并将其指定给用户，请参见配置 RBAC（任务列表）。

2. 从审计跟踪或指定的审计文件中选择所需的记录类型。

   auditreduce -lowercase-option argument [optional-file]

   argument

   小写选项所需的特定参数。例如，-c 选项需要审计类的 argument，例如 ua。

   -d

   选择特定日期的所有事件。argument 的日期格式为 yyymmdd。其他日期选项 -b 和 -a 选择特定日期之前和之后的事件。

   -u

   选择属于特定用户的所有事件。argument 是用户名。另一个用户选项 -e 选择属于有效用户 ID 的所有事件。

   -c

   选择预选审计类中的所有事件。argument 是审计类名。

   -m

   选择特定审计事件的所有实例。argument 是审计事件。

   optional-file

   审计文件的名称。

示例 29–25 合并和减少审计文件

auditreduce 命令可以在合并输入文件时删除不感兴趣的记录。例如，可以使用 auditreduce 命令仅保留审计文件中一个月以前的登录和退出记录。如果需要检索完整的审计跟踪，可以从备份介质中恢复此跟踪。

# cd /var/audit/audit_summary.dir

# auditreduce -O lo.summary -b 20030827 -c lo; compress *lo.summary

示例 29–26 将 na 审计记录复制到摘要文件

在本示例中，将审计跟踪中的所有无归属审计事件记录收集到一个文件中。

$ whoami

sysadmin

$ cd /var/audit/audit_summary.dir

$ auditreduce -c na -O nasumm

$ ls *nasumm

20030827183214.20030827215318.nasumm

将使用 na 记录的开始和结束日期为合并的 nasumm 审计文件添加时间标记。

示例 29–27 在指定的审计文件中查找审计事件

可以手动选择审计文件以仅搜索指定的文件组。例如，可以通过进一步处理前面示例中的 *nasumm 文件来查找系统引导事件。要执行此操作，可以指定文件名作为 auditreduce 命令的最后一个参数。

$ auditreduce -m 113 -O systemboot 20030827183214.20030827215318.nasumm

20030827183214.20030827183214.systemboot

20030827183214.20030827183214.systemboot 文件只包含系统引导审计事件。

示例 29–28 将一个用户的审计记录复制到摘要文件

在本示例中，将合并包含特定用户名称的审计跟踪中的记录。-e 选项查找有效用户。-u 选项查找审计用户。

$ cd /var/audit/audit_summary.dir

$ auditreduce -e tamiko -O tamiko

可以在此文件中查找特定事件。在以下示例中，将检查 2003 年 9 月 7 日（您的时间）用户登录和退出的时间。只检查那些以用户名作为文件后缀的文件。此日期的简捷形式为 yyyymmdd。

# auditreduce -M tamiko -O tamikolo -d 20030907 -u tamiko -c lo

示例 29–29 将选定的记录复制到单个文件

在本示例中，从审计跟踪中选择特定日期的登录和退出消息。将消息合并到目标文件。目标文件将写入除常规审计根目录以外的目录中。

# auditreduce -c lo -d 20030827 -O /var/audit/audit_summary.dir/logins

# ls /var/audit/audit_summary.dir/*logins

/var/audit/audit_summary.dir/20030827183936.20030827232326.logins