auditreduce コマンド
auditreduce コマンドを使用すると、1 つまたは複数の入力監査ファイルから監査レコードをマージしたり、監査レコードの事後選択を実行できます。auditreduce(1M) のマニュアルページを参照してください。監査トレール全体をマージするには、すべての監査ファイルシステムがマウントされているマシン上で、auditreduce コマンドを実行します。
auditreduce コマンドを使用すると、複数のマシン上のすべての監査対象動作を、1 か所から追跡できます。監査機能をインストールするときにすべてのマシンを同じ構成にし、監査ログファイルのサーバーとローカルディレクトリを作成しておくと、auditreduce コマンドはインストール中にすべての監査ファイルを論理的に結合して、1 つの監査トレールとして読み取ることができます。auditreduce では、レコードのマージ方法や格納場所は無視されます。auditreduce コマンドにオプションを指定しなかった場合は、監査ルートディレクトリ (/etc/security/audit) のすべてのサブディレクトリにあるすべての監査ファイルの監査レコードがマージされ、その結果が標準出力に送られます。マージされた監査レコードは、時系列に並べて 1 つの出力ファイルに格納することもできます。このファイルの形式はバイナリデータです。
auditreduce コマンドを使用して、特定の種類のレコードを選択し、解析に利用することもできます。auditreduce のマージ機能と選択機能は論理的にほかに依存しません。auditreduce は、入力ファイルのレコードを読み取ると、マージしてディスクに書き込む前に、データを抽出します。
praudit コマンドは、auditreduce のバイナリ出力を、読み込み可能な書式に変換します。
auditreduce コマンドにオプションを指定すると、次の操作も実行できます。
-
特定の監査フラグによって生成された監査レコードを要求する
-
特定のユーザーによって作成された監査レコードを要求する
-
特定の日付に作成された監査レコードを要求する
auditreduce に引数を指定しなかった場合は、デフォルトの監査ルートディレクトリ /etc/security/audit 内のサブディレクトリが検査されます。このコマンドは、start-time.end-time.hostname ファイルが配置されている files ディレクトリを検査します。auditreduce コマンドは、さまざまなホスト (図 26–1) または監査サーバー (図 26–2) の監査データが異なるディレクトリに格納されているときに使用します。
図 26–1 ホストごとに格納された監査トレール
図 26–2 サーバーごとに格納された監査トレール
/etc/security/audit のパーティションが小さいため、監査データをデフォルトのディレクトリに格納しない場合は、-R オプションを使用して auditreduce コマンドを別のディレクトリに渡すことができます。
# auditreduce -R /var/audit-alt |
-S オプションを使用して、特定のサブディレクトリを指定することもできます。
# auditreduce -S /var/audit-alt/host1 |
特定の監査ログファイルだけを処理するには、auditreduce にそのファイルをコマンド引数として直接指定できます。
# auditreduce /var/audit/egret/files/2001*.2001*egret |
- © 2010, Oracle Corporation and/or its affiliates