Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Cómo fusionar archivos de auditoría de la pista de auditoría

Mediante la fusión de los archivos de auditoría de todos los directorios de auditoría, puede analizar el contenido de toda la pista de auditoría.

Notas -  Debido a que los registros de hora en la pista de auditoría están en la hora universal coordinada (UTC), la fecha y la hora se deben traducir a la zona horaria actual para que tengan sentido. Tenga en cuenta este punto siempre que manipule estos archivos con los comandos de archivo estándar en lugar de utilizar el comando auditreduce.

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Cree un sistema de archivos para almacenar los archivos de auditoría fusionados.

    Para reducir la posibilidad de que se alcance el límite de espacio en disco, este sistema de archivos debe estar en otra zpool de los sistemas de archivos que creó en Cómo crear sistemas de archivos ZFS para archivos de auditoría para almacenar los archivos originales.

  2. Fusione los registros de auditoría en la pista de auditoría.

    Vaya al directorio para almacenar archivos de auditoría fusionados. Desde este directorio, fusione los registros de auditoría en un archivo con un sufijo con nombre. Todos los directorios de la pista de auditoría en el sistema local se fusionan y se almacenan en este directorio.

    # cd audit-storage-directory
# auditreduce -Uppercase-option -O suffix

    Las opciones en mayúscula del comando auditreduce manipulan los archivos en la pista de auditoría. Las opciones en mayúscula incluyen las siguientes:

    –A

    Selecciona todos los archivos en la pista de auditoría.

    –C

    Selecciona únicamente archivos completos.

    –M

    Selecciona los archivos con un sufijo determinado. El sufijo puede ser un nombre de equipo o un sufijo que haya especificado para un archivo de resumen.

    –O

    Crea un archivo de auditoría con registros de hora de 14 caracteres para la hora de inicio y la hora de finalización, con el sufijo suffix en el directorio actual.

    –R pathname

    Especifica la lectura de archivos de auditoría en pathname, un directorio raíz de auditoría alternativo.

    –S server

    Especifica la lectura de archivos de auditoría del servidor especificado.

    Para obtener una lista completa de las opciones, consulte la página del comando man auditreduce(1M).

Ejemplo 5-15  Copia de archivos de auditoría a un archivo de resumen

En el ejemplo siguiente, un administrador que tiene asignado el perfil de derechos de administrador del sistema copia todos los archivos de la pista de auditoría en un archivo fusionado, en un sistema de archivos diferente. El sistema de archivos /var/audit/storage está en un disco separado del sistema de archivos /var/audit, el sistema de archivos raíz de auditoría.

$ cd /var/audit/storage
$ auditreduce -A -O All
$ ls /var/audit/storage/*All
20100827183214.20100827215318.All

En el siguiente ejemplo, únicamente se copian archivos completos de la pista de auditoría a un archivo fusionado. La ruta completa se especifica como el valor de la opción –0. El último elemento de la ruta, Complete, se utiliza como el sufijo.

$ auditreduce -C -O /var/audit/storage/Complete

$ ls /var/audit/storage/*Complete
20100827183214.20100827214217.Complete

En el siguiente ejemplo, si agrega la opción –D, se suprimen los archivos de auditoría originales.

$ auditreduce -C -O daily_sys1.1 -D sys1.1

$ ls *sys1.1
20100827183214.20100827214217.daily_sys1.1
Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente