audit_binfile プラグインがアクティブな場合は、監査ファイルシステムにバイナリ形式の監査ファイルが保持されます。標準インストールでは /var/audit ファイルシステムが使用されますが、追加のファイルシステムも使用できます。すべての監査ファイルシステムの内容は、監査トレールで構成されています。監査レコードは、これらのファイルシステム内に次の順序で格納されます。
プライマリ監査ファイルシステム – システムの監査ファイルのためのデフォルトのファイルシステムである /var/audit ファイルシステム
セカンダリ監査ファイルシステム – システムの監査ファイルが管理者の判断で配置されるファイルシステム
これらのファイルシステムは、audit_binfile プラグインの p_dir 属性への引数として指定されます。各ファイルシステムは、このリスト内で前にあるファイルシステムがいっぱいになるまで使用されません。ファイルシステムエントリのリストを含む例については、監査ファイルのための ZFS ファイルシステムを作成する方法を参照してください。
監査ファイルをデフォルトの監査ルートディレクトリに配置すると、監査証跡を確認する際に役立ちます。auditreduce コマンドは、監査ルートディレクトリを使用して監査トレール内のすべてのファイルを検索します。デフォルトの監査ルートディレクトリは /var/audit です。
auditreduce コマンドでは、次のオプションを使用できます。
auditreduce コマンドの –M オプションを使用すると、特定のマシンから監査ファイルを指定できます。
–S オプションを使用すると、別の監査ファイルシステムを指定できます。
auditreduce コマンドの使用例については、監査トレールの監査ファイルをマージする方法を参照してください。詳細は、auditreduce(1M) のマニュアルページを参照してください。
監査サービスでは、監査トレールのファイルを結合したり、フィルタしたりするためのコマンドが提供されます。auditreduce コマンドは、監査トレールの監査ファイルをマージします。また、ファイルをフィルタして特定のイベントを検出できます。praudit コマンドは、バイナリファイルを読み取ります。praudit コマンドのオプションにより、スクリプトやブラウザの表示に適した出力が得られます。