audit_binfile 插件处于活动状态时,审计文件系统以二进制格式保留审计文件。典型的安装使用 /var/audit 文件系统,也可以使用其他文件系统。所有审计文件系统的内容组成了审计迹。审计记录按以下顺序存储在这些文件系统中:
主审计文件系统-/var/audit 文件系统,即用于系统审计文件的缺省文件系统
辅助审计文件系统-按管理员意愿在其中放置系统审计文件的文件系统
这些文件系统作为 audit_binfile 插件的 p_dir 属性参数来指定。对于某个文件系统,列表中位于此文件系统前面的文件系统已满时才会使用此文件系统。有关包含文件系统项列表的示例,请参见如何为审计文件创建 ZFS 文件系统。
将审计文件放置在缺省审计根目录下可帮助审计审阅者审阅审计迹。auditreduce 命令使用审计根目录来查找审计迹中的所有文件。缺省审计根目录为 /var/audit。
可以使用带有以下选项的 auditreduce 命令:
auditreduce 命令的 –M 选项可用于指定来自特定计算机的审计文件。
–S 选项可用来指定不同的审计文件系统。
有关 auditreduce 命令的使用示例,请参见如何合并审计迹中的审计文件。有关更多信息,请参见 auditreduce(1M) 手册页。
审计服务提供用于合并和过滤审计迹文件的命令。auditreduce 命令可以合并审计迹中的审计文件。此命令还可以过滤文件以查找特定事件。praudit 命令读取二进制文件。praudit 命令的选项提供适合借助脚本和浏览器显示的输出。