Pour afficher des définitions d'enregistrements d'audit, utilisez la commande. auditrecord. Les définitions fournissent le nombre d'événements d'audit, la classe d'audit, le masque de sélection et le format d'enregistrement d'un événement d'audit.
% auditrecord -options
La sortie d'écran générée par la commande varie selon l'option que vous ajoutez, comme indiqué dans la liste partielle ci-dessous.
L'option –p affiche les définitions d'enregistrements d'audit d'un programme.
L'option –c affiche les définitions d'enregistrements d'audit d'une classe d'audit.
L'option –a répertorie toutes les définitions d'événements d'audit.
Vous pouvez également imprimer la sortie affichée dans un fichier.
Pour plus d'informations, reportez-vous à la page de manuel auditrecord(1M).
Exemple 5-1 Affichage des définitions d'enregistrement d'audit d'un programmeDans cet exemple, la définition de tous les enregistrements d'audit générés par le programme login est affichée. Les programmes de connexion incluent rlogin, telnet, newgrp et la fonction Shell sécurisé de Oracle Solaris.
% auditrecord -p login ... login: logout program various See login(1) event ID 6153 AUE_logout class lo (0x0000000000001000) ... newgrp program newgrp See newgrp login event ID 6212 AUE_newgrp_login class lo (0x0000000000001000) ... rlogin program /usr/sbin/login See login(1) - rlogin event ID 6155 AUE_rlogin class lo (0x0000000000001000) ... /usr/lib/ssh/sshd program /usr/lib/ssh/sshd See login - ssh event ID 6172 AUE_ssh class lo (0x0000000000001000) ... telnet login program /usr/sbin/login See login(1) - telnet event ID 6154 AUE_telnet class lo (0x0000000000001000) …Exemple 5-2 Affichage des définitions d'enregistrement d'audit d'une classe d'audit
Dans cet exemple, les définitions de tous les enregistrements d'audit dans la classe pf qui a été créée dans l'Example 3–15 s'affichent.
% auditrecord -c pf pfexec system call pfexec See execve(2) with pfexec enabled event ID 116 AUE_PFEXEC class pf (0x0100000000000000) header path pathname of the executable path pathname of working directory [privileges] privileges if the limit or inheritable set are changed [privileges] privileges if the limit or inheritable set are changed [process] process if ruid, euid, rgid or egid is changed exec_arguments [exec_environment] output if arge policy is set subject [use_of_privilege] return
Le jeton use_of_privilege est enregistré lorsque le privilège est utilisé. Les jetons privileges sont enregistrés si la limite ou l'ensemble héritable sont modifiés. Le jeton processus est enregistré si un ID est modifié. Aucune option de stratégie n'est requise pour que ces jetons soient inclus dans l'enregistrement.
Exemple 5-3 Impression dans un fichier des définitions d'enregistrement d'auditDans cet exemple, l'option –h est ajoutée pour placer toutes les définitions d'enregistrements d'audit dans un fichier au format HTML. Lorsque vous affichez le fichier HTML dans un navigateur, utilisez l'outil de recherche du navigateur pour rechercher des définitions d'enregistrements d'audit spécifiques.
% auditrecord -ah > audit.events.html