如何通过使用规则文件定制 BART 报告

通过使用规则文件，您可以为您关注的特定文件和文件属性定制 BART 清单。通过使用缺省 BART 清单上的不同规则文件，您可以为相同的清单运行不同的比较。

开始之前

您必须成为 root 角色。有关更多信息，请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。

1. 确定需要监视的文件和文件属性。
2. 创建包含合适指令的一个规则文件。
3. 使用所创建的规则文件创建控制清单。

   # bart create -r myrules1-file > control-manifest

4. (u53ef选)将清单保存在受保护的目录中供将来使用。

   例如，请参见如何创建控制清单中的Step 3。

5. 在其他系统上或在以后的某个时间创建一个完全相同的清单，或者以后的某个时间在其他系统上创建一个完全相同的清单。

   # bart create -r myrules1-file > test-manifest

6. 使用同一个规则文件比较清单。

   # bart compare -r myrules1-file control-manifest test-manifest > bart.report

7. 检查 BART 报告中的异常情况。

以下规则文件指示 bart create 命令列出 /usr/bin 目录中的文件的所有属性。此外，该规则文件还指示 bart compare 命令仅报告同一个目录的大小和内容的更改。

# Check size and content changes in the /usr/bin directory.
# This rules file only checks size and content changes.
# See rules file example.

IGNORE all
CHECK size contents
/usr/bin

• 使用所创建的规则文件创建控制清单。

  # bart create -r usrbinrules.txt > usr_bin.control-manifest.121013

• 在需要监视 /usr/bin 目录的变化时请准备一个完全相同的清单。

  # bart create -r usrbinrules.txt > usr_bin.test-manifest.121113

• 使用同一个规则文件比较清单。

  # bart compare -r usrbinrules.txt usr_bin.control-manifest.121013 \
  usr_bin.test-manifest.121113

• 检查 bart compare 命令的输出。

   /usr/bin/gunzip:  add
  /usr/bin/ypcat:
  delete

之前的输出表明删除了 /usr/bin/ypcat 文件，添加了 /usr/bin/gunzip 文件。