En tant qu'administration disposant du profil de droits Audit Review (vérification d'audit), vous pouvez filtrer les enregistrements d'audit pour les examiner à l'aide de la commande auditreduce. Cette commande peut éliminer les enregistrements moins intéressants, car elle combine les fichiers d'entrée.
auditreduce -option argument [optional-file]
où argument correspond à l'argument dont une option a besoin.
La liste suivante répertorie les options de sélection d'enregistrements et leurs arguments correspondants :
Sélectionne une classe d'audit où argument correspond à une classe d'audit, telle que ua.
Sélectionne tous les événements à une date donnée. Le format de date pour argument est yyymmdd. D'autres options de date, telles que –b et –a, sélectionnent les événements avant et après une date particulière, respectivement.
Sélectionne tous les événements attribuables à un utilisateur particulier. Pour cette option, indiquez un nom d'utilisateur. Une autre option utilisateur, – e, sélectionne tous les événements attribuables à un ID d'utilisateur effectif.
Sélectionne tous les événements attribuables à un groupe particulier. Pour cette option, indiquez un nom de groupe.
Sélectionne tous les événements d'une classe d'audit présélectionnée. Pour utiliser cette option, indiquez un nom de classe d'audit.
Sélectionne toutes les instances d'un événement d'audit.
Sélectionne par type d'objet. Utilisez cette option pour sélectionner par fichier, groupe, propriétaire de fichiers, FMRI, PID et autres types d'objets.
Nom d'un fichier d'audit.
La commande utilise également les options de sélection de fichiers qui sont toutes en majuscules comme indiqué dans les exemples suivants. Pour obtenir la liste complète des options, reportez-vous à la page de manuel auditreduce(1M).
Exemple 5-4 Association et réduction des fichiers d'auditDans cet exemple, seuls les enregistrements de connexion et déconnexion des fichiers d'audit datant de plus d'un mois sont conversés. L'exemple part du principe que la date actuelle est le 27 septembre. Si vous avez besoin de récupérer la piste d'audit complète, vous pouvez le faire à partir d'un média de sauvegarde. L'option –O oriente la sortie de la commande vers un fichier nommé lo.summary.
# cd /var/audit/audit_summary # auditreduce -O lo.summary -b 20100827 -c lo; compress *lo.summaryExemple 5-5 Copie des enregistrements d'audit d'un utilisateur dans un fichier résumé
Dans cet exemple, les enregistrements de la piste d'audit qui contiennent le nom d'un utilisateur particulier sont fusionnés. L'option –e trouve l'utilisateur effectif. L'option –u trouve l'utilisateur de connexion. L'option –O oriente la sortie vers le fichier tamiko.
# cd /var/audit/audit_summary # auditreduce -e tamiko -O tamiko
Vous pouvez affiner davantage les informations affichées. Dans l'exemple suivant, les éléments suivants sont filtrés et imprimés dans un fichier nommé. tamikolo.
Heure de connexion et déconnexion de l'utilisateur indiquée par l'option –c.
Date du 7 septembre 2013 indiquée par l'option –d. La forme abrégée de la date est yyyymmdd.
Nom d'utilisateur tamiko indiqué par l'option –u.
Nom de l'ordinateur indiqué par l'option –M.
# auditreduce -M tamiko -O tamikolo -d 20130907 -u tamiko -c loExemple 5-6 Fusion des enregistrements sélectionnés dans un fichier unique
Dans cet exemple, les enregistrements de connexion et déconnexion pour un jour particulier sont sélectionnés dans la piste d'audit. Les enregistrements sont fusionnés dans un fichier cible. Le fichier cible est écrit dans un système de fichiers autre que le système de fichiers qui contient le répertoire root d'audit.
# auditreduce -c lo -d 20130827 -O /var/audit/audit_summary/logins # ls /var/audit/audit_summary/*logins /var/audit/audit_summary/20130827183936.20130827232326.logins