すべての監査ディレクトリの監査ファイルをマージすることによって、監査トレール全体の内容を分析できます。
始める前に
Audit Review 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
ディスク容量の制限に達する可能性を減らすために、このファイルシステムは、元のファイルを格納するために How to Create ZFS File Systems for Audit Filesで作成したファイルシステムとは監査ファイルのための ZFS ファイルシステムを作成する方法 内に存在するようにしてください。
マージされた監査ファイルを格納するためのディレクトリに移動します。このディレクトリから、指定された接尾辞を含むファイルに監査レコードをマージします。ローカルシステム上の監査トレール内のすべてのディレクトリがマージされ、このディレクトリ内に配置されます。
# cd audit-storage-directory # auditreduce -Uppercase-option -O suffix
大文字オプションを auditreduce コマンドに指定すると、監査トレール内のファイルを操作できます。次の大文字オプションがあります。
監査トレール内のすべてのファイルを選択します。
完全ファイルだけを選択します。
特定の接尾辞を持つファイルを選択します。接尾辞はマシン名、またはサマリーファイルに指定した接尾辞です。
開始時間と終了時間を示す 14 文字のタイムスタンプおよび接尾辞 suffix が付いた監査ファイルを現在のディレクトリに作成します。
代替の監査ルートディレクトリである pathname 内の監査ファイルを読み取ることを指定します。
指定されたサーバーから監査ファイルを読み取ることを指定します。
オプションの完全な一覧については、auditreduce(1M) のマニュアルページを参照してください。
次の例では、System Administrator 権利プロファイルが割り当てられた管理者が、監査トレールのすべてのファイルを別のファイルシステム上のマージされたファイルにコピーします。/var/audit/storage ファイルシステムは、監査のルートファイルシステムである /var/audit ファイルシステムとは別のディスク上にあります。
$ cd /var/audit/storage $ auditreduce -A -O All $ ls /var/audit/storage/*All 20100827183214.20100827215318.All
次の例では、完全なファイルのみが、監査トレールから、マージされたファイルにコピーされます。完全パスは、–0 オプションの値として指定されます。パスの最後のコンポーネント Complete は、接尾辞として使用されます。
$ auditreduce -C -O /var/audit/storage/Complete $ ls /var/audit/storage/*Complete 20100827183214.20100827214217.Complete
次の例では、–D オプションを追加することによって、元の監査ファイルが削除されます。
$ auditreduce -C -O daily_sys1.1 -D sys1.1 $ ls *sys1.1 20100827183214.20100827214217.daily_sys1.1