not_terminated 감사 파일을 정리하는 방법

비정상적인 시스템 중단이 발생할 경우 감사 파일이 열린 상태에서 감사 서비스가 종료됩니다. 또는 파일 시스템에 액세스할 수 없게 되고 시스템이 강제로 새로운 파일 시스템으로 전환됩니다. 이러한 경우 감사 파일이 더 이상 감사 레코드에 사용되지 않더라도 감사 파일은 종료 시간 기록으로 not_terminated 문자열을 가집니다. auditreduce -O 명령을 사용하여 파일에 올바른 시간 기록을 지정합니다.

시작하기 전에

Audit Review 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.

1. 감사 파일 시스템에 not_terminated 문자열이 있는 파일을 만들어진 순서대로 나열합니다.

   # ls -R1t audit-directory */* | grep not_terminated

   –R

   하위 디렉토리의 파일을 나열합니다.

   –t

   최근에서 가장 오래된 순서로 파일을 나열합니다.

   –1

   파일을 한 열로 나열합니다.

2. 오래된 not_terminated 파일을 정리합니다.

   auditreduce -O 명령에 오래된 파일의 이름을 지정합니다.

   # auditreduce -O system-name old-not-terminated-file
   

3. 오래된 not_terminated 파일을 제거합니다.

   # rm system-name old-not-terminated-file
   

예 5-16  닫힌 not_terminated 감사 파일 정리

다음 예에서는 not_terminated 파일을 찾고 이름을 바꾼 다음 원본을 제거합니다.

ls -R1t */* | grep not_terminated
…/egret.1/20100908162220.not_terminated.egret
…/egret.1/20100827215359.not_terminated.egret

# cd */egret.1
# auditreduce -O egret 20100908162220.not_terminated.egret
# ls -1t
20100908162220.not_terminated.egret Current audit file

20100827230920.20100830000909.egret Cleaned-up audit file

20100827215359.not_terminated.egret Input (old) audit file

# rm 20100827215359.not_terminated.egret
# ls -1t
20100908162220.not_terminated.egret Current audit file

20100827230920.20100830000909.egret Cleaned-up audit file

새 파일의 시작 시간 기록에는 not_terminated 파일에서 첫 감사 이벤트의 시간이 반영됩니다. 종료 시간 기록에는 파일에서 마지막 감사 이벤트의 시간이 반영됩니다.