Cuando se producen interrupciones anómalas del sistema, el servicio de auditoría se cierra mientras su archivo de auditoría aún está abierto. O bien un sistema de archivos se vuelve inaccesible y hace que el sistema cambie a un nuevo sistema de archivos. En esos casos, un archivo de auditoría permanece con la cadena not_terminated como registro de hora final, aunque el archivo ya no se utilice para los registros de auditoría. Utilice el comando auditreduce -O para otorgar al archivo el registro de hora correcto.
Antes de empezar
Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
# ls -R1t audit-directory */* | grep not_terminated
Muestra los archivos en los subdirectorios.
Muestra la lista de archivos desde el más reciente hasta el más antiguo.
Muestra los archivos en una columna.
Especifique el nombre del archivo anterior en el comando auditreduce -O.
# auditreduce -O system-name old-not-terminated-file
# rm system-name old-not-terminated-file
En el siguiente ejemplo, se encontraron archivos not_terminated, se renombraron y se eliminaron los originales.
ls -R1t */* | grep not_terminated …/egret.1/20100908162220.not_terminated.egret …/egret.1/20100827215359.not_terminated.egret # cd */egret.1 # auditreduce -O egret 20100908162220.not_terminated.egret # ls -1t 20100908162220.not_terminated.egret Current audit file 20100827230920.20100830000909.egret Cleaned-up audit file 20100827215359.not_terminated.egret Input (old) audit file # rm 20100827215359.not_terminated.egret # ls -1t 20100908162220.not_terminated.egret Current audit file 20100827230920.20100830000909.egret Cleaned-up audit file
El registro de hora de inicio en el nuevo archivo refleja la hora del primer evento de auditoría en el archivo not_terminated. El registro de hora final refleja la hora del último evento de auditoría en el archivo.