탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
감사 레코드는 감사 토큰의 시퀀스입니다. 각 감사 토큰에는 사용자 ID, 시간 및 날짜와 같은 이벤트 정보가 포함됩니다. header 토큰은 감사 레코드를 시작하고, 선택적 trailer 토큰은 레코드를 종료합니다. 기타 감사 토큰에는 감사 이벤트와 관련된 정보가 포함됩니다. 다음 그림은 일반적인 커널 감사 레코드 및 일반적인 사용자 레벨 감사 레코드를 보여줍니다.
그림 29-1 일반적인 감사 레코드 구조
감사 레코드 분석에는 감사 추적에서 레코드 사후 선택이 포함됩니다. 두 가지 방법 중 하나를 사용하여 수집된 이진 데이터를 구문 분석할 수 있습니다.
praudit 명령을 사용할 수 있습니다. 명령에 대한 옵션은 서로 다른 텍스트 출력을 제공합니다. 예를 들어, praudit -x 명령은 스크립트 및 브라우저에 입력을 위한 XML을 제공합니다. praudit 출력에는 필드가 포함되지 않으며, 유일한 목적은 이진 데이터의 구문 분석을 돕는 것입니다. praudit 출력의 순서 및 형식은 Oracle Solaris 릴리스 사이에 보증되지 않습니다.
praudit 출력의 예는 이진 감사 파일의 내용을 보는 방법을 참조하십시오.
각 감사 토큰에 대한 praudit 출력의 예는 감사 토큰 형식의 개별 토큰을 참조하십시오.
이진 데이터 스트림 구문 분석을 위한 프로그램을 작성할 수 있습니다. 프로그램에서는 감사 레코드의 변형을 고려해야 합니다. 예를 들어, ioctl() 시스템 호출은 “잘못된 파일 이름”에 대한 감사 레코드를 만듭니다. 이 레코드에는 “잘못된 파일 설명자”에 대한 ioctl() 감사 레코드와 다른 토큰이 포함됩니다.
각 감사 토큰에서 이진 데이터 순서에 대한 설명은 audit.log(4) 매뉴얼 페이지를 참조하십시오.
매니페스트 값은 /usr/include/bsm/audit.h 파일을 참조하십시오.
감사 레코드에서 토큰의 순서를 보려면 auditrecord 명령을 사용합니다. auditrecord 명령의 출력에는 서로 다른 매니페스트 값에 대해 서로 다른 토큰이 포함됩니다. 대괄호([])는 감사 토큰이 선택 사항임을 나타냅니다. 자세한 내용은 auditrecord(1M) 매뉴얼 페이지를 참조하십시오.