Lorsque des interruptions du système anormales surviennent, le service d'audit s'arrête alors que son fichier d'audit est toujours ouvert. Ou, un système de fichiers devient inaccessible et force le système à passer à un nouveau système de fichiers. Dans de tels cas, un fichier d'audit conserve la chaîne not_terminated comme horodatage de fin, même si le fichier n'est plus utilisé pour les enregistrements d'audit. Utilisez la commande auditreduce -O pour donner au fichier le bon horodatage.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Review (vérification d'audit). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
# ls -R1t audit-directory */* | grep not_terminated
Répertorie les fichiers dans des sous-répertoires.
Répertorie les fichiers du plus récent au plus ancien.
Affiche la liste des fichiers dans une seule colonne.
Spécifiez le nom de l'ancien fichier de la commande auditreduce -O.
# auditreduce -O system-name old-not-terminated-file
# rm system-name old-not-terminated-file
Dans l'exemple suivant, les fichiers not_terminated sont trouvés, renommés, puis les originaux sont supprimés.
ls -R1t */* | grep not_terminated …/egret.1/20100908162220.not_terminated.egret …/egret.1/20100827215359.not_terminated.egret # cd */egret.1 # auditreduce -O egret 20100908162220.not_terminated.egret # ls -1t 20100908162220.not_terminated.egret Current audit file 20100827230920.20100830000909.egret Cleaned-up audit file 20100827215359.not_terminated.egret Input (old) audit file # rm 20100827215359.not_terminated.egret # ls -1t 20100908162220.not_terminated.egret Current audit file 20100827230920.20100830000909.egret Cleaned-up audit file
L'horodatage de début sur le nouveau fichier reflète l'heure du premier événement d'audit dans le fichier not_terminated. L'horodatage de fin reflète l'heure du dernier événement d'audit dans le fichier.