L'analyse d'enregistrement d'audit implique la postsélection des enregistrements dans la piste d'audit. Vous pouvez utiliser l'une des deux approches d'analyse syntaxique des données binaires collectées ci-dessous.
Vous pouvez exécuter la commande praudit. Les options de la commande fournissent une sortie de texte différente. Par exemple, la commande praudit -x fournit du XML pour l'entrée dans les scripts et navigateurs. La sortie praudit n'inclut pas les champs dont le seul but est d'aider à analyser les données binaires. Notez que l'ordre et le format de la sortie praudit peuvent être différents selon la version d'Oracle Solaris.
Pour obtenir des exemples de sortie praudit, reportez-vous à la section Affichage du contenu des fichiers d'audit binaires.
Pour obtenir des exemples de sortie praudit pour chaque jeton d'audit, reportez-vous aux différents jetons répertoriés dans la section Formats de jeton d'audit.
Vous pouvez écrire un programme pour analyser le flux de données binaires. Le programme doit prendre en compte les variantes d'un enregistrement d'audit. Par exemple, l'appel système ioctl() crée un enregistrement d'audit pour "Nom de fichier incorrect". Cet enregistrement contient différents jetons de l'enregistrement d'audit ioctl() pour "Descripteur de fichier incorrect".
Pour obtenir une description de l'ordre des données binaires dans chaque jeton d'audit, reportez-vous à la page de manuel audit.log(4).
Le fichier /usr/include/bsm/audit.h contient des valeurs de manifeste.
Pour afficher l'ordre des jetons dans un enregistrement d'audit, utilisez la commande auditrecord. La sortie de la commande auditrecord inclut les différents jetons des différentes valeurs de manifeste. Les crochets ([]) indiquent qu'un jeton d'audit est facultatif. Pour plus d'informations, reportez-vous à la page de manuel auditrecord(1M).