auditreduce の使用方法

この節では、データを分析して管理するための auditreduce の一般的な使用方法について説明します。

監査ログ全体を表示する方法

監査トレール全体を一度に表示するには、auditreduce の出力を praudit にパイプします。

# auditreduce | praudit

監査ログ全体を印刷する方法

lp にパイプすると、出力はプリンタに送られます。

# auditreduce | praudit | lp

選択したデータに関するユーザの動作を表示する方法

次の例で、システム管理者は lo メッセージクラスを要求して、ユーザ fred が 1990 年 4 月 13 日にログインしてログアウトした時刻を調べます。短い日付の書式は yymmdd です (長い形式については、auditreduce(1M) のマニュアルページを参照)。

# auditreduce -d 900413 -u fred -c lo | praudit

ログイン/ログアウトメッセージを 1 つのファイルにコピーする方法

次の例では、特定の日付に関するログイン/ログアウトメッセージが 1 つのファイルに集計されます。ターゲットファイルは、通常の監査ルート以外のディレクトリに書き込まれます。

# auditreduce -c lo -d 870413 -O /usr/audit_summary/logins 

-O オプションを使用すると、開始時刻と終了時刻を示す 14 文字のタイムスタンプと接尾辞 logins が付いた監査ファイルが作成されます。

/usr/audit_summary/19870413000000.19870413235959.logins

not_terminated 監査ファイルを整理する方法

監査ファイルが開いているうちに監査デーモンが停止したり、サーバがアクセスできなくなってマシンが新しいサーバに強制的に切り替えたりすると、監査ファイルが監査レコードに使用されなくなっても、そのファイルが残り、ファイル名に含まれる終了時刻に文字列 not_terminated が付いたままになることがあります。この種のファイルが検出された場合は、ファイルが使用されていないことを手作業で検査し、正しいオプションを使用してファイル名を指定して整理するとよいでしょう。

# auditreduce -O machine 19870413120429.not_terminated.machine

このコマンドを実行すると、正しい名前 (両方のタイムスタンプ) と正しい接尾辞 (明示的に指定された machine) が付いた新しい監査ファイルが作成され、すべてのメッセージがそのファイルにコピーされます。