审计记录分析涉及从审计迹中后选记录。可以使用两种方法之一来解析收集的二进制数据。
您可以使用 praudit 命令。该命令的选项提供不同的文本输出。例如,praudit -x 命令可以为脚本和浏览器中的输入提供 XML。praudit 输出不包括仅用于帮助解析二进制数据的字段。请注意,无法保证 Oracle Solaris 发行版之间 praudit 输出的顺序和格式完全相同。
有关 praudit 输出的示例,请参见查看二进制审计文件的内容。
有关每个审计标记的 praudit 输出的示例,请参见审计标记格式中的各个标记。
您可以编写程序来解析二进制数据流。此程序必须考虑审计记录的变体。例如,ioctl() 系统调用会创建 "Bad file name"(错误的文件名称)的审计记录。该记录包含 "Invalid file descriptor"(无效的文件说明符)的 ioctl() 审计记录的不同标记。
有关每个审计标记中的二进制数据顺序的说明,请参见 audit.log(4) 手册页。
有关清单值,请参见 /usr/include/bsm/audit.h 文件。
要查看审计记录中的标记顺序,请使用 auditrecord 命令。auditrecord 命令的输出包括不同清单值的不同标记。方括号 ([]) 表明,审计标记是可选的。有关更多信息,请参见 auditrecord(1M) 手册页。