En fusionnant les fichiers d'audit de tous les répertoires d'audit, vous pouvez analyser le contenu de la piste d'audit entière.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Review (vérification d'audit). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Afin de diminuer les risques d'atteindre la limite d'espace disque, ce système de fichiers doit se trouver dans un zpool différent des systèmes de fichiers que vous avez créés à la section Création de systèmes de fichiers ZFS pour les fichiers d'audit pour stocker les fichiers d'origine.
Accédez au répertoire de stockage des fichiers d'audit. A partir de ce répertoire, fusionnez les enregistrements d'audit dans un fichier nommé avec un suffixe. Tous les répertoires dans la piste d'audit sur le système local sont fusionnés et sont placés dans ce répertoire.
# cd audit-storage-directory # auditreduce -Uppercase-option -O suffix
Les options majuscules de la commande auditreduce permettent de manipuler les fichiers dans la piste d'audit. Les options majuscules sont les suivantes :
Sélectionne tous les fichiers de la piste d'audit.
Sélectionne les fichiers complets uniquement.
Sélectionne les fichiers avec un suffixe donné. Le suffixe peut être un nom de machine ou un suffixe que vous avez spécifié pour un fichier résumé.
Crée un fichier d'audit avec des horodatages de 14 caractères pour l'heure de début et l'heure de fin, avec le suffixe suffix dans le répertoire en cours.
Indique que les fichiers d'audit doivent être lus dans pathname, un autre répertoire root d'audit.
Indique que les fichiers d'audit doivent être lus à partir du serveur spécifié.
Pour obtenir la liste complète des options, reportez-vous à la page de manuel auditreduce(1M).
Dans l'exemple ci-dessous, un administrateur à qui est affecté le profil de droits System Administrator (administrateur système) copie tous les fichiers de la piste d'audit dans un fichier fusionné sur un système de fichiers différent. Le système de fichiers /var/audit/storage réside sur un disque distinct du système de fichiers /var/audit, le système de fichiers root d'audit.
$ cd /var/audit/storage $ auditreduce -A -O All $ ls /var/audit/storage/*All 20100827183214.20100827215318.All
Dans l'exemple suivant, seuls les fichiers complets sont copiés de la piste d'audit dans un fichier fusionné. Le chemin d'accès complet est spécifié comme valeur de l'option –0. Le dernier composant du chemin, Complete, est utilisé comme suffixe.
$ auditreduce -C -O /var/audit/storage/Complete $ ls /var/audit/storage/*Complete 20100827183214.20100827214217.Complete
Dans l'exemple suivant, grâce à l'ajout de l'option –D, les fichiers d'audit originaux sont supprimés.
$ auditreduce -C -O daily_sys1.1 -D sys1.1 $ ls *sys1.1 20100827183214.20100827214217.daily_sys1.1