Audit Review 権利プロファイルが割り当てられている管理者として、auditreduce を使用すると、調査対象の監査レコードをフィルタリングできます。このコマンドは、入力ファイルを結合するときに、関連性の少ないレコードを除外できます。
auditreduce -option argument [optional-file]
ここで、argument はオプションで必要な特定の引数です。
次の一覧に、レコード選択オプションとそれに対応する引数の一部を示します。
argument が監査クラス (ua など) である場合に、監査クラスを選択します。
特定の日付のイベントをすべて選択します。argument の日付の形式は、yyyymmdd です。その他の日付オプション (–b や –a など) は、特定の日付の前と後のイベントを選択します。
特定のユーザーのイベント属性をすべて選択します。このオプションには、ユーザー名を指定します。もう 1 つのユーザーオプション –e は、実効ユーザー ID のイベント属性をすべて選択します。
特定のグループのイベント属性をすべて選択します。このオプションには、グループ名を指定します。
事前選択された監査クラス内のイベントをすべて選択します。このオプションを使用するには、監査クラス名を指定します。
特定の監査イベントのインスタンスをすべて選択します。
オブジェクトタイプによって選択します。このオプションは、ファイル、グループ、ファイル所有者、FMRI、PID、およびその他のオブジェクトタイプによって選択するために使用します。
監査ファイルの名前。
このコマンドでは、すべて大文字のファイル選択オプションも使用されます (次の例を参照)。オプションの完全な一覧については、auditreduce(1M) のマニュアルページを参照してください。
使用例 5-4 監査ファイルを結合して削減するこの例では、1 か月間のログインおよびログアウトのレコードのみが監査ファイルに保持されています。この例では、現在の日付が 9 月 27 日になっています。監査トレール全体が必要になった場合は、バックアップメディアから監査トレールを復元します。–O オプションを付けると、コマンドの出力が lo.summary という名前のファイルに書き込まれます。
# cd /var/audit/audit_summary # auditreduce -O lo.summary -b 20100827 -c lo; compress *lo.summary使用例 5-5 ユーザー監査レコードをサマリーファイルにコピーする
この例では、特定のユーザーの名前を含む監査トレール内のレコードがマージされます。–e オプションを指定すると実効ユーザーが検索されます。–u オプションを指定すると、ログインユーザーが検索されます。–O オプションを付けると、出力が tamiko ファイルに書き込まれます。
# cd /var/audit/audit_summary # auditreduce -e tamiko -O tamiko
表示する情報をさらに絞り込むことができます。次の例では、次のようにフィルタリングされ、tamikolo というファイルに出力されます。
ユーザーのログイン時間およびログアウト時間 (–c オプションで指定)。
2013 年 9 月 7 日 (–d オプションで指定)。日付の短い形式は、yyyymmdd です。
ユーザー名 tamiko (–u オプションで指定)。
マシンの名前 (–M オプションで指定)。
# auditreduce -M tamiko -O tamikolo -d 20130907 -u tamiko -c lo使用例 5-6 選択したレコードを単一のファイルにマージする
この例では、特定の日のログインおよびログアウトレコードが監査トレールから選択されます。これらのレコードは、ターゲットファイルにマージされます。ターゲットファイルは、監査ルートディレクトリを含むファイルシステム以外のファイルシステムに書き込まれます。
# auditreduce -c lo -d 20130827 -O /var/audit/audit_summary/logins # ls /var/audit/audit_summary/*logins /var/audit/audit_summary/20130827183936.20130827232326.logins