Como administrador que tiene asignado el perfil de derechos de revisión de auditoría, puede ver el contenido de los archivos de auditoría binarios con el comando praudit.
# praudit options
A continuación, se muestra una lista parcial de las opciones. Puede combinar cualquiera de estas opciones con la opción –l para mostrar cada registro en una línea.
Muestra los registros de auditoría en formato corto, un token por línea.
Muestra los registros de auditoría en formato básico, un token por línea.
Muestra los registros de auditoría en formato XML, un token por línea. Esta opción es útil para el procesamiento posterior.
También puede utilizar los comandos auditreduce y praudit juntos conduciendo la salida del comando praudit desde el comando auditreduce.
Ejemplo 5-7 Visualización de los registros de auditoría en formato cortoEn este ejemplo, los eventos de inicio y cierre de sesión que se extraen mediante el comando auditreduce se muestran en formato corto.
# auditreduce -c lo | praudit -s header,69,2,AUE_screenlock,,mach1,2010-10-14 08:02:56.348 -07:00 subject,jdoe,root,staff,jdoe,staff,856,50036632,82 0 mach1 return,success,0 sequence,1298Ejemplo 5-8 Visualización de los registros de auditoría en formato básico
En este ejemplo, los eventos de inicio y cierre de sesión que se extraen mediante el comando auditreduce se muestran en formato básico.
# auditreduce -c lo | praudit -r 21,69,2,6222,0x0000,10.132.136.45,1287070091,698391050 36,26700,0,10,26700,10,856,50036632,82 0 10.132.136.45 39,0,0 47,1298Ejemplo 5-9 Paso de registros de auditoría a formato XML
En este ejemplo, los registros de auditoría se convierten a formato XML.
# praudit -x 20100827183214.20100827215318.logins > 20100827.logins.xml
De manera similar, puede mostrar los registros de auditoría filtrados mediante el comando auditreduce en formato XML.
# auditreduce -c lo | praudit -x <record version="2" event="screenlock - unlock" host="mach1" iso8601="2010-10-14 08:28:11.698 -07:00"> <subject audit-uid="jdoe" uid="root" gid="staff" ruid="jdoe rgid="staff" pid="856" sid="50036632" tid="82 0 mach1"/> <return errval="success" retval="0"/> <sequence seq-num="1298"/> </record>
El contenido del archivo sólo puede ser operado por una secuencia de comandos para extraer la información relevante.
Ejemplo 5-10 Modificación de registros de auditoría en formato XML para que pueda leerlos un exploradorPuede cambiar el formato de los registros del archivo XML para que puedan leerse en cualquier explorador mediante la herramienta xsltproc. Esta herramienta aplica las definiciones de las hojas de estilo al contenido del archivo. Para colocar en un archivo diferente el contenido cuyo formato se cambió, debe escribir lo siguiente:
# auditreduce -c lo | praudit -x | xsltproc - > logins.html
En un explorador, el contenido de logins.html se mostrará en un formato similar al siguiente:
Audit Trail Data File: time: 2013-11-04 12:54:28.000 -08:00 Event: login - local time: 2013-11-04 12:54:28.418 -08:00 vers: 2 mod: host: host SUBJECT audit-uid: jdoe uid: jdoe gid: staff ruid: jdoe rgid: staff pid: 1534 sid: 3583012893 tid: 0 0 host RETURN errval: success retval: 0 Event: connect to RAD time: 2013-11-04 12:54:52.029 -08:00 vers: 2 mod: host: host SUBJECT audit-uid: jdoe uid: jdoe gid: staff ruid: jdoe rgid: staff pid: 1835 sid: 3583012893 tid: 0 0 host RETURN errval: success retval: 0 Event: role login time: 2013-11-08 08:42:52.286 -08:00 vers: 2 mod: host: host SUBJECT audit-uid: jdoe uid: root gid: root ruid: root rgid: root pid: 4265 sid: 3583012893 tid: 0 0 host RETURN errval: success retval: 0 Event: role logout time: 2013-11-08 08:43:37.125 -08:00 vers: 2 mod: host: host SUBJECT audit-uid: jdoe uid: root gid: root ruid: root rgid: root pid: 4265 sid: 3583012893 tid: 0 0 host RETURN errval: success retval: 0 Event: login - ssh time: 2013-12-23 12:24:37.292 -08:00 vers: 2 mod: host: host SUBJECT audit-uid: jsmith uid: jsmith gid: staff ruid: jsmith rgid: staff pid: 2002 sid: 39351741 tid: 14632 202240 host.example.com RETURN errval: success retval: 0 Event: role login time: 2013-12-23 12:25:07.345 -08:00 vers: 2 mod: fe host: host SUBJECT audit-uid: jsmith uid: root gid: root ruid: root rgid: root pid: 2023 sid: 39351741 tid: 14632 202240 host.example.com RETURN errval: failure retval: Permission denied Event: su time: 2013-12-23 17:19:24.031 -08:00 vers: 2 mod: na host: host RETURN errval: success retval: 0 Event: su logout time: 2013-12-23 17:19:24.362 -08:00 vers: 2 mod: na host: host RETURN errval: success retval: 0 Event: login - ssh time: 2013-12-23 17:27:21.306 -08:00 vers: 2 mod: host: host SUBJECT audit-uid: jsmith uid: jsmith gid: staff ruid: jsmith rgid: staff pid: 2583 sid: 3401970889 tid: 13861 5632 host.example.com RETURN errval: success retval: 0 Event: role login time: 2013-12-23 17:27:28.361 -08:00 vers: 2 mod: host: host SUBJECT audit-uid: jsmith uid: root gid: root ruid: root rgid: root pid: 2593 sid: 3401970889 tid: 13861 5632 host.example.com RETURN errval: success retval: 0 Event: role logout time: 2013-12-23 17:30:39.029 -08:00 vers: 2 mod: host: host SUBJECT audit-uid: jsmith uid: root gid: root ruid: root rgid: root pid: 2593 sid: 3401970889 tid: 13861 5632 host.example.com RETURN errval: success retval: 0 Other eventsEjemplo 5-11 Visualización de sólo registros pfedit
Puede utilizar filtros para extraer y ver sólo registros específicos de la pista de auditoría. En este ejemplo, se filtran los registros que capturan el uso del comando pfedit. Suponga que el archivo de resumen es 20130827183936.20130827232326.logins. El uso del comando pfedit genera el evento AUE_admin_edit. Por lo tanto, para extraer los registros de pfedit, ejecute el siguiente comando:
auditreduce -m AUE_admin_edit 20130827183936.20130827232326.logins | prauditEjemplo 5-12 Impresión de toda la pista de auditoría
Con una conducción al comando de impresión, la salida de toda la pista de auditoría pasa a la impresora. Por motivos de seguridad, la impresora tiene acceso limitado.
# auditreduce | praudit | lp -d example.protected.printerEjemplo 5-13 Visualización de un archivo de auditoría específico
En este ejemplo, se examina un archivo de inicio de sesión de resumen en la ventana de terminal.
# cd /var/audit/audit_summary/logins # praudit 20100827183936.20100827232326.logins | moreEjemplo 5-14 Procesamiento de la salida de praudit con una secuencia de comandos
Es posible que quiera procesar la salida del comando praudit como líneas de texto. Por ejemplo, es posible que quiera seleccionar registros que el comando auditreduce no pueda seleccionar. Puede utilizar una secuencia de comandos de shell sencilla para procesar la salida del comando praudit. La siguiente secuencia de comandos de ejemplo coloca un registro de auditoría en una línea, busca una cadena especificada por el usuario y devuelve el archivo de auditoría a su forma original.
#!/bin/sh # ## This script takes an argument of a user-specified string. # The sed command prefixes the header tokens with Control-A # The first tr command puts the audit tokens for one record # onto one line while preserving the line breaks as Control-A # praudit | sed -e '1,2d' -e '$s/^file.*$//' -e 's/^header/^aheader/' \\ | tr '\\012\\001' '\\002\\012' \\ | grep "$1" \\ Finds the user-specified string | tr '\\002' '\\012' Restores the original newline breaks
Tenga en cuenta que ^a en la secuencia de comandos equivale a Control-A, no los dos caracteres ^ y a. El prefijo distingue el token header de la cadena header que podría aparecer como texto.
Un mensaje similar al siguiente indica que no tiene privilegios suficientes para usar el comando praudit:
praudit: Can't assign 20090408164827.20090408171614.sys1.1 to stdin.
Ejecute el comando praudit un shell de perfil. Debe convertirse en un administrador con el perfil de derechos de revisión de auditoría asignado. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .