감사 레코드 정의를 표시하려면 auditrecord 명령을 사용합니다. 정의는 감사 이벤트 번호, 감사 클래스, 선택 마스크 및 감사 이벤트의 레코드 형식을 제공합니다.
% auditrecord -options
명령으로 생성되는 화면 출력은 다음 일부 목록에 표시된 것처럼 사용하는 옵션에 따라 달라집니다.
–p 옵션은 프로그램의 감사 레코드 정의를 표시합니다.
–c 옵션은 감사 클래스의 감사 레코드 정의를 표시합니다.
–a 옵션은 모든 감사 이벤트 정의를 나열합니다.
또한 표시된 출력을 파일로 인쇄할 수 있습니다.
자세한 내용은 auditrecord(1M) 매뉴얼 페이지를 참조하십시오.
예 5-1 프로그램의 감사 레코드 정의 표시이 예에서는 login 프로그램으로 생성되는 모든 감사 레코드의 정의가 표시됩니다. 로그인 프로그램에는 rlogin, telnet, newgrp 및 Oracle Solaris의 Secure Shell 기능이 포함됩니다.
% auditrecord -p login ... login: logout program various See login(1) event ID 6153 AUE_logout class lo (0x0000000000001000) ... newgrp program newgrp See newgrp login event ID 6212 AUE_newgrp_login class lo (0x0000000000001000) ... rlogin program /usr/sbin/login See login(1) - rlogin event ID 6155 AUE_rlogin class lo (0x0000000000001000) ... /usr/lib/ssh/sshd program /usr/lib/ssh/sshd See login - ssh event ID 6172 AUE_ssh class lo (0x0000000000001000) ... telnet login program /usr/sbin/login See login(1) - telnet event ID 6154 AUE_telnet class lo (0x0000000000001000) …예 5-2 감사 클래스의 감사 레코드 정의 표시
이 예에서는 Example 3–15에서 만들어진 Example 3–15 클래스의 모든 감사 레코드 정의가 표시됩니다.
% auditrecord -c pf pfexec system call pfexec See execve(2) with pfexec enabled event ID 116 AUE_PFEXEC class pf (0x0100000000000000) header path pathname of the executable path pathname of working directory [privileges] privileges if the limit or inheritable set are changed [privileges] privileges if the limit or inheritable set are changed [process] process if ruid, euid, rgid or egid is changed exec_arguments [exec_environment] output if arge policy is set subject [use_of_privilege] return
use_of_privilege 토큰은 권한이 사용될 때마다 기록됩니다. privileges 토큰은 제한 또는 상속 가능한 설정이 변경될 경우 기록됩니다. process 토큰은 ID가 변경될 경우 기록됩니다. 이러한 토큰이 레코드에 포함되기 위해 필요한 정책 옵션은 없습니다.
예 5-3 감사 레코드 정의를 파일로 인쇄이 예제에서는 모든 감사 레코드 정의를 HTML 형식의 파일에 넣기 위해 –h 옵션이 추가되었습니다. 브라우저에서 HTML 파일을 표시하면 브라우저의 Find(찾기) 도구를 사용하여 특정 감사 레코드 정의를 찾습니다.
% auditrecord -ah > audit.events.html