Como administrador que tiene asignado el perfil de derechos de revisión de auditoría, puede filtrar registros de auditoría para examinarlos mediante el comando auditreduce. Este comando puede eliminar los registros menos interesantes a medida que combina los archivos de entrada.
auditreduce -option argument [optional-file]
Donde argument es el argumento específico que una opción requiere.
A continuación, se muestra una lista parcial de las opciones de selección de registros y sus correspondientes argumentos:
Selecciona una clase de auditoría donde argument es una clase de auditoría, como ua.
Selecciona todos los eventos en una fecha determinada. El formato de fecha de argument es aaammdd. Otras opciones de fecha, como –b y –a, seleccionan los eventos antes y después de una fecha determinada, respectivamente.
Selecciona todos los eventos atribuibles a un usuario determinado. Para esta opción, especifique un nombre de usuario. Otra opción de usuario, –e, selecciona todos los eventos atribuibles a un ID de usuario vigente.
Selecciona todos los eventos atribuibles a un grupo determinado. Para esta opción, especifique un nombre de grupo.
Selecciona todos los eventos de una clase de auditoría preseleccionada. Para utilizar esta opción, especifique un nombre de clase de auditoría.
Selecciona todas las instancias de un evento de auditoría determinado.
Selecciona por tipo de objeto. Utilice esta opción para seleccionar por archivo, grupo, responsable de archivo, FMRI, PID y otros tipos de objetos.
El nombre de un archivo de auditoría.
El comando también utiliza las opciones de selección de archivos, que se escriben todas con letras mayúsculas como se muestra en los siguientes ejemplos. Para obtener una lista completa de las opciones, consulte la página del comando man auditreduce(1M).
Ejemplo 5-4 Combinación y reducción de archivos de auditoríaEn este ejemplo, sólo se conservan los registros de inicio y cierre de sesión en los archivos de auditoría con más de un mes de antigüedad. El ejemplo asume que la fecha actual es 27 de septiembre. Si necesita recuperar la pista de auditoría completa, puede recuperar la pista del medio de copia de seguridad. La opción –O dirige la salida del comando a un archivo denominado lo.summary.
# cd /var/audit/audit_summary # auditreduce -O lo.summary -b 20100827 -c lo; compress *lo.summaryEjemplo 5-5 Copia de los registros de auditoría de un usuario en un archivo de resumen
En este ejemplo, se fusionan los registros en la pista de auditoría que contienen el nombre de un usuario determinado. La opción –e busca el usuario vigente. La opción –u busca el usuario de inicio de sesión. La opción –O dirige la salida al archivo tamiko.
# cd /var/audit/audit_summary # auditreduce -e tamiko -O tamiko
Puede reducir aún más la información mostrada. En el ejemplo que aparece a continuación, se filtra e imprime lo siguiente en un archivo denominado tamikolo.
Hora de inicio y cierre de sesión del usuario, especificada por la opción –c.
Fecha del 7 de septiembre de 2013, especificada por la opción –d. La abreviatura de la fecha es aaaammdd.
Nombre de usuario tamiko, especificado por la opción –u.
Nombre de equipo, especificado por la opción –M.
# auditreduce -M tamiko -O tamikolo -d 20130907 -u tamiko -c loEjemplo 5-6 Fusión de registros seleccionados en un archivo único
En este ejemplo, los registros de inicio y cierre de sesión de un día determinado se seleccionan de la pista de auditoría. Los registros se fusionan en un archivo de destino. El archivo de destino se escribe en un sistema de archivos que no sea el sistema de archivos que contiene el directorio raíz de auditoría.
# auditreduce -c lo -d 20130827 -O /var/audit/audit_summary/logins # ls /var/audit/audit_summary/*logins /var/audit/audit_summary/20130827183936.20130827232326.logins