監査レコードの分析には、監査トレールからのレコードの事後選択が必要です。次の 2 つの方法のうちのいずれかを使用して、収集されたバイナリデータを解析できます。
praudit コマンドを使用します。コマンドのオプションにより、さまざまなテキスト出力が提供されます。たとえば、praudit -x コマンドを使用すると、スクリプトとブラウザへの入力のための XML が得られます。praudit 出力には、バイナリデータの解析に役立つことだけが目的のフィールドは含まれません。praudit 出力の順序や形式は Oracle Solaris リリース間では保証されません。
praudit 出力の例については、バイナリ監査ファイルの内容の表示を参照してください。
監査トークンごとの praudit 出力の例については、監査トークンの形式にある個々のトークンを参照してください。
バイナリデータのストリームを解析するためのプログラムを作成できます。このプログラムは、監査レコードの変種を考慮に入れる必要があります。たとえば、ioctl() システムコールは、「不正なファイル名」に対する監査レコードを作成します。このレコードには、「無効なファイル記述子」に対する ioctl() 監査レコードとは異なるトークンが含まれています。
各監査トークン内のバイナリデータの順番については、audit.log(4) のマニュアルページを参照してください。
目録の値については、/usr/include/bsm/audit.h ファイルを参照してください。
監査レコード内のトークンの順序を表示するには、auditrecord コマンドを使用します。auditrecord コマンドの出力には、目録の値ごとに異なるトークンが含まれています。角括弧 ([]) は、監査トークンがオプションであることを表しています。詳細は、auditrecord(1M) のマニュアルページを参照してください。