Para visualizar definiciones de registros de auditoría, utilice el comando auditrecord. Las definiciones indican el número de evento de auditoría, la clase de auditoría, la máscara de selección y el formato de registro de un evento de auditoría.
% auditrecord -options
La salida de la pantalla generada por el comando depende de la opción que se utilice, como se muestra en la siguiente lista parcial.
La opción –p muestra las definiciones de registros de auditoría de un programa.
La opción –c muestra las definiciones de registros de auditoría de una clase de auditoría.
La opción –a muestra una lista de todas las definiciones de eventos de auditoría.
También puede imprimir la salida que se muestra en un archivo.
Para obtener más información, consulte la página del comando man auditrecord(1M).
Ejemplo 5-1 Visualización de las definiciones de registros de auditoría de un programaEn este ejemplo, se muestra la definición de todos los registros de auditoría que se generan mediante el programa login. Los programas de inicio de sesión incluyen rlogin, telnet, newgrp y la función de Secure Shell de Oracle Solaris.
% auditrecord -p login ... login: logout program various See login(1) event ID 6153 AUE_logout class lo (0x0000000000001000) ... newgrp program newgrp See newgrp login event ID 6212 AUE_newgrp_login class lo (0x0000000000001000) ... rlogin program /usr/sbin/login See login(1) - rlogin event ID 6155 AUE_rlogin class lo (0x0000000000001000) ... /usr/lib/ssh/sshd program /usr/lib/ssh/sshd See login - ssh event ID 6172 AUE_ssh class lo (0x0000000000001000) ... telnet login program /usr/sbin/login See login(1) - telnet event ID 6154 AUE_telnet class lo (0x0000000000001000) …Ejemplo 5-2 Visualización de definiciones de registros de auditoría de una clase de auditoría
En este ejemplo, se muestran las definiciones de todos los registros de auditoría en la clase pf que fue creada en el Example 3–15.
% auditrecord -c pf pfexec system call pfexec See execve(2) with pfexec enabled event ID 116 AUE_PFEXEC class pf (0x0100000000000000) header path pathname of the executable path pathname of working directory [privileges] privileges if the limit or inheritable set are changed [privileges] privileges if the limit or inheritable set are changed [process] process if ruid, euid, rgid or egid is changed exec_arguments [exec_environment] output if arge policy is set subject [use_of_privilege] return
El token use_of_privilege se registra siempre que se utiliza un privilegio. Los tokens privileges se registran si el conjunto heredable o límite se cambia. El token process se registra si un ID se cambia. Ninguna opción de política es necesaria para que estos tokens se incluyan en el registro.
Ejemplo 5-3 Impresión de definiciones de registros de auditoría en un archivoEn este ejemplo, la opción –h se agrega para colocar todas las definiciones de registros de auditoría en un archivo en formato HTML. Cuando visualiza el archivo HTML en un explorador, use la herramienta de búsqueda del explorador para buscar definiciones de registros de auditoría específicas.
% auditrecord -ah > audit.events.html