auditreduce コマンドの使用方法

auditreduce を使用すると、1 つまたは複数の入力監査ファイルから監査レコードをマージしてまとめたり、監査レコードの事後選択を実行できます。auditreduce(1M) のマニュアルページを参照してください。監査トレール全体をマージするには、システム管理者は分散システムのすべての監査ファイルシステムがマウントされているマシン上で、auditreduce コマンドを入力します。

BSM を実行する複数のマシンが分散システムの一部として管理されているときは、各マシンが監査可能なイベントを実行し、監査レコードをマシン固有の監査ファイルに書き込みます。この手順によってソフトウェアが単純化され、マシンが障害を起こした場合の信頼性が高まります。しかし、各マシンによって独自の監査ファイルセットが生成されるので、auditreduce を使用しないと、すべてのファイルを個別に調べてどのユーザに帰因するかを判断しなければなりません。

auditreduce コマンドによって、監査トレール全体の管理作業を効率化できます。auditreduce (または、より高いインタフェースを提供するために独自に作成したシェルスクリプト) を使用すると、レコードの生成方法や格納場所に関係なく、システム内のすべてのファイルの論理上の組み合わせを 1 つの監査トレールとして読むことができます。

auditreduce プログラムは、監査デーモンによって生成された監査トレールを処理します。1 つまたは複数の監査ファイルからレコードが選択され、マージされて、1 つの時系列順のファイルが生成されます。auditreduce のマージ機能と選択機能は論理的に他に依存しません。auditreduce はレコードが読み取られると、入力ファイルがマージされてディスクに書き込まれる前に、そこからメッセージを選択します。

オプションを指定しなければ、auditreduce は監査トレール全体 (デフォルトの監査ルートディレクトリ /etc/security/audit 内のすべてのサブディレクトリ内のすべての監査ファイル) をマージして、すべての監査レコードを標準出力に送ります。praudit コマンドによって、レコードをユーザが読める書式に変換されます。

次の例は、auditreduce コマンドの一部のオプションによって実行される動作です。

• 特定の監査フラグによって生成される監査レコードだけが出力に含まれるように設定できます。

• 特定の 1 人のユーザによって作成される監査レコードを要求できます。

• 特定の日付に生成された監査レコードを要求できます。

引数を指定しなければ、auditreduce はデフォルトの監査ルートディレクトリである /etc/security/audit の下のすべてのサブディレクトリ内で、date.date.hostname ファイルが入っている files ディレクトリを検索します。auditreduce コマンドは、さまざまなホストの監査データ (図 2-1) や、さまざまな監査サーバの監査データ (図 2-2) が別々のディレクトリに入っている場合に便利です。

図 2-1 ホスト別に分類された監査トレール

監査データはデフォルトディレクトリに入っていなくてもかまいません。これは、/etc/security/audit のパーティションが小さすぎるため、または、別のパーティションを /etc/security/audit にシンボリックリンクせずに、そのパーティションに監査データを保存したい場合です。auditreduce に /etc/security/audit の代わりに別のディレクトリ (-R) を指定するか、または特定のサブディレクトリ (-S) を指定できます。

# auditreduce -R /var/audit-alt
# auditreduce -S /var/audit-alt/host1

図 2-2 サーバ別に分類された監査トレール

次のように特定のファイルをコマンド引数として指定すると、それらのファイルのみを処理するように auditreduce に対して指示できます。

# auditreduce /var/audit/bongos/files/1993*.1993*.bongos

他のオプションとコマンドの使用例については、auditreduce(1M) のマニュアルページを参照してください。