Cuando el complemento audit_binfile está activo, un sistema de archivos de auditoría mantiene los archivos de auditoría en formato binario. Una instalación típica utiliza el sistema de archivos /var/audit y puede usar sistemas de archivos adicionales. El contenido de todos los sistemas de archivos de auditoría compone la pista de auditoría. Los registros de auditoría se almacenan en estos sistemas de archivos en el siguiente orden:
Sistema de archivos de auditoría primario: el sistema /var/audit, el sistema de archivos predeterminado para archivos de auditoría de un sistema
Sistemas de archivos de auditoría secundarios: sistemas de archivos donde los archivos de auditoría para un sistema se ubican según el criterio del administrador
Los sistemas de archivos se especifican como argumentos para el atributo p_dir del complemento audit_binfile. Un sistema de archivos no se utiliza hasta que un sistema de archivos que está antes en la lista esté lleno. Para ver un ejemplo con una lista de las entradas del sistema de archivos, consulte Cómo crear sistemas de archivos ZFS para archivos de auditoría.
Colocar los archivos de auditoría en el directorio raíz de auditoría predeterminado ayuda al revisor de auditoría cuando revisa la pista de auditoría. El comando auditreduce usa el directorio raíz de auditoría para encontrar todos los archivos en la pista de auditoría. El directorio raíz de auditoría predeterminado es /var/audit.
Puede utilizar las siguientes opciones con el comando auditreduce:
La opción –M para el comando auditreduce se puede utilizar a fin de especificar archivos de auditoría de un equipo específico.
La opción –S se puede utilizar para especificar un sistema de archivos de auditoría diferente.
Para obtener ejemplos del uso del comando auditreduce, consulte Cómo fusionar archivos de auditoría de la pista de auditoría. Para obtener más información, consulte la página del comando man auditreduce(1M).
El servicio de auditoría proporciona comandos para combinar y filtrar archivos de la pista de auditoría. El comando auditreduce puede fusionar archivos de auditoría de la pista de auditoría. El comando también puede filtrar archivos para localizar eventos particulares. El comando praudit lee los archivos binarios. Las opciones para el comando praudit ofrecen una salida que es adecuada para las secuencias de comandos y para la presentación del explorador.