Lorsque le plug-in audit_binfile est actif, un système de fichiers d'audit maintient les fichiers d'audit au format binaire. L'installation standard utilise le système de fichiers /var/audit et peut utiliser des systèmes de fichiers supplémentaires. Le contenu de tous les systèmes de fichiers d'audit constitue la piste d'audit. Les enregistrements d'audit sont stockés dans ces systèmes de fichiers d'audit selon l'ordre suivant :
Système de fichiers d'audit principal : système de fichiers /var/audit, système de fichiers par défaut pour les fichiers d'audit d'un système
Systèmes de fichiers d'audit secondaires : systèmes de fichiers dans lesquels les fichiers d'audit d'un système sont placés à la discrétion de l'administrateur
Les systèmes de fichiers sont spécifiés en tant qu'arguments de l'attribut p_dir du plug-in audit_binfile. Un système de fichiers n'est pas utilisé tant qu'un système de fichiers occupant une position supérieure dans la liste n'est pas saturé. Pour obtenir un exemple de liste d'entrées de système de fichiers, reportez-vous à la section Création de systèmes de fichiers ZFS pour les fichiers d'audit.
Placer les fichiers d'audit dans le répertoire root d'audit par défaut facilite la tâche du réviseur lors de l'examen de la piste d'audit. La commande auditreduce utilise le répertoire root d'audit pour rechercher tous les fichiers de la piste d'audit. Le répertoire root d'audit par défaut est /var/audit.
Vous pouvez utiliser les options suivantes à l'aide de la commande auditreduce :
L'option–M de la commande auditreduce peut être utilisée pour spécifier des fichiers d'audit à partir d'un ordinateur spécifique.
L'option–S peut être utilisée pour spécifier un autre système de fichiers d'audit.
Pour consulter des exemples d'utilisation de la commande auditreduce, reportez-vous à la section Fusion des fichiers d'audit de la piste d'audit. Pour plus d'informations, reportez-vous à la page de manuel auditreduce(1M).
Le service d'audit fournit des commandes pour combiner et filtrer les fichiers de la piste d'audit. La commande auditreduce peut fusionner des fichiers d'audit de la piste d'audit. La commande peut également filtrer les fichiers pour localiser des événements particuliers. La commande praudit lit les fichiers binaires. Les options de la commande praudit fournissent une sortie adaptée pour l'écriture de scripts et l'affichage dans le navigateur.