Comandos que controlan las acciones del servicio de auditoría

audit -n inicia un nuevo archivo de auditoría para el complemento audit_binfile.

audit -s activa y refresca la auditoría.

audit -t desactiva la auditoría.

audit -v verifica que al menos un complemento esté activo.

Complemento de auditoría predeterminado que envía registros de auditoría a un archivo binario. Consulte también Complementos de auditoría.

Complemento de auditoría que envía registros de auditoría a un receptor remoto.

Complemento de auditoría que envía resúmenes de texto a la utilidad syslog.

Archivo que contiene las definiciones de clases de auditoría. Los ocho bits de orden superior están disponibles para que los clientes creen nuevas clases de auditoría. Para obtener más información acerca del efecto de modificar este archivo en la actualización del sistema, consulte Cómo agregar una clase de auditoría.

Archivo que contiene las definiciones de eventos de auditoría y asigna los eventos a clases de auditoría. La asignación se puede modificar. Para obtener más información acerca del efecto de modificar este archivo en la actualización del sistema, consulte Cómo cambiar una pertenencia a clase de un evento de auditoría.

Describe la sintaxis de la preselección de clases de auditoría, los prefijos para seleccionar sólo los eventos con fallos o sólo los eventos correctos, y los prefijos que modifican una preselección existente.

Describe los nombres de archivos de auditoría binarios, la estructura interna de un archivo y la estructura de cada token de auditoría.

Secuencia de comandos que notifica a un alias de correo electrónico cuando el servicio de auditoría encuentra una condición poco habitual al escribir los registros de auditoría. Puede personalizar esta secuencia de comandos para su sitio a fin de advertir acerca de condiciones que puedan requerir intervención manual o puede especificar cómo manejar dichas condiciones automáticamente.

Comando que recupera y establece parámetros de configuración de auditoría.

Emita el comando auditconfig sin opciones para mostrar una lista de parámetros que se pueden recuperar y establecer.

Comando que muestra la definición de eventos de auditoría en el archivo /etc/security/audit_event. Para conocer un ejemplo de salida, consulte Visualización de definiciones de registros de auditoría.

Comando que selecciona posteriormente y fusiona registros de auditoría que se almacenan en formato binario. El comando puede fusionar los registros de auditoría de uno o más archivos de auditoría de entrada. Los registros permanecen en formato binario.

Las opciones de mayúscula afectan la selección de archivos. Las opciones de minúscula afectan la selección de registros.

Comando que muestra estadísticas de auditoría de núcleo. Por ejemplo, el comando puede mostrar el número de registros en la cola de auditoría de núcleo, el número de registros descartados y el número de registros de auditoría que los procesos de usuario generaron en el núcleo como resultado de llamadas del sistema.

Comando que lee los registros de auditoría en formato binario a partir de la entrada estándar y muestra los registros en un formato presentable. La entrada puede conducirse desde el comando auditreduce o desde un único archivo de auditoría o una lista de archivos de auditoría. La entrada también se puede generar con el comando tail -0f para un archivo de auditoría actual.

Para conocer un ejemplo de salida, consulte Visualización del contenido de los archivos de auditoría binarios.

Archivo configurado para enviar resúmenes de texto de registros de auditoría para la utilidad syslog para el complemento audit_syslog.