Mediante la fusión de los archivos de auditoría de todos los directorios de auditoría, puede analizar el contenido de toda la pista de auditoría.
Antes de empezar
Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Para reducir la posibilidad de que se alcance el límite de espacio en disco, este sistema de archivos debe estar en otra zpool de los sistemas de archivos que creó en Cómo crear sistemas de archivos ZFS para archivos de auditoría para almacenar los archivos originales.
Vaya al directorio para almacenar archivos de auditoría fusionados. Desde este directorio, fusione los registros de auditoría en un archivo con un sufijo con nombre. Todos los directorios de la pista de auditoría en el sistema local se fusionan y se almacenan en este directorio.
# cd audit-storage-directory # auditreduce -Uppercase-option -O suffix
Las opciones en mayúscula del comando auditreduce manipulan los archivos en la pista de auditoría. Las opciones en mayúscula incluyen las siguientes:
Selecciona todos los archivos en la pista de auditoría.
Selecciona únicamente archivos completos.
Selecciona los archivos con un sufijo determinado. El sufijo puede ser un nombre de equipo o un sufijo que haya especificado para un archivo de resumen.
Crea un archivo de auditoría con registros de hora de 14 caracteres para la hora de inicio y la hora de finalización, con el sufijo suffix en el directorio actual.
Especifica la lectura de archivos de auditoría en pathname, un directorio raíz de auditoría alternativo.
Especifica la lectura de archivos de auditoría del servidor especificado.
Para obtener una lista completa de las opciones, consulte la página del comando man auditreduce(1M).
En el ejemplo siguiente, un administrador que tiene asignado el perfil de derechos de administrador del sistema copia todos los archivos de la pista de auditoría en un archivo fusionado, en un sistema de archivos diferente. El sistema de archivos /var/audit/storage está en un disco separado del sistema de archivos /var/audit, el sistema de archivos raíz de auditoría.
$ cd /var/audit/storage $ auditreduce -A -O All $ ls /var/audit/storage/*All 20100827183214.20100827215318.All
En el siguiente ejemplo, únicamente se copian archivos completos de la pista de auditoría a un archivo fusionado. La ruta completa se especifica como el valor de la opción –0. El último elemento de la ruta, Complete, se utiliza como el sufijo.
$ auditreduce -C -O /var/audit/storage/Complete $ ls /var/audit/storage/*Complete 20100827183214.20100827214217.Complete
En el siguiente ejemplo, si agrega la opción –D, se suprimen los archivos de auditoría originales.
$ auditreduce -C -O daily_sys1.1 -D sys1.1 $ ls *sys1.1 20100827183214.20100827214217.daily_sys1.1