二进制审计文件名称约定

每个二进制审计文件都是自包含的记录集合。文件的名称标识生成记录的时间跨度以及生成这些记录的系统。

二进制审计文件名称

已完成的审计文件具有如下名称格式：

start-time.end-time.system

start-time

审计文件中第一条审计记录的生成时间

end-time

最后一条记录写入文件的时间

system

生成文件的系统的名称

仍处于活动状态的审计文件具有如下名称格式：

start-time.not_terminated.system

有关 not_terminated 和关闭的审计文件名称的示例，请参见如何清除 not_terminated 审计文件。

二进制审计文件时间戳

文件名中的时间戳可供 auditreduce 命令用来查找特定时间范围内的记录。由于可以在线累积一个月或更长时间的审计文件，因此，这些时间戳非常重要。要搜索在过去 24 小时内生成的记录的所有文件将需要很高的花费。

start-time 和 end-time 是具有 1 秒分辨率的时间戳，以格林威治标准时间 (Greenwich Mean Time, GMT) 指定。格式是以四位数字表示年，后面分别以两位数字表示月、日、小时、分钟和秒，如下所示：

YYYYMMDDHHMMSS

以 GMT 表示时间戳可确保即使跨越不同的时区，也可以按照正确的顺序对这些时间戳排序。由于时间戳以 GMT 表示，因此，必须将日期和小时转换为当前时区才有意义。每当使用标准文件命令而不是 auditreduce 命令来处理这些文件时，都要切记这一点。