要显示审计记录定义,请使用 auditrecord 命令。定义提供审计事件的审计事件编号、审计类、选择掩码和记录格式。
% auditrecord -options
该命令生成的屏幕输出取决于所使用的选项,如以下显示了部分选项的列表所示。
–p 选项显示程序的审计记录定义。
–c 选项显示审计类的审计记录定义。
–a 选项用于列出所有审计事件定义。
您还可以将显示的输出打印到文件。
有关更多信息,请参见 auditrecord(1M) 手册页。
示例 5-1 显示程序的审计记录定义在本示例中,将显示 login 程序生成的所有审计记录的定义。登录程序包括 rlogin、telnet、newgrp,以及 Oracle Solaris 的 安全 Shell 功能。
% auditrecord -p login ... login: logout program various See login(1) event ID 6153 AUE_logout class lo (0x0000000000001000) ... newgrp program newgrp See newgrp login event ID 6212 AUE_newgrp_login class lo (0x0000000000001000) ... rlogin program /usr/sbin/login See login(1) - rlogin event ID 6155 AUE_rlogin class lo (0x0000000000001000) ... /usr/lib/ssh/sshd program /usr/lib/ssh/sshd See login - ssh event ID 6172 AUE_ssh class lo (0x0000000000001000) ... telnet login program /usr/sbin/login See login(1) - telnet event ID 6154 AUE_telnet class lo (0x0000000000001000) …示例 5-2 显示审计类的审计记录定义
在本示例中,显示在Example 3–15 中创建的 pf 类中所有审计记录的定义。
% auditrecord -c pf pfexec system call pfexec See execve(2) with pfexec enabled event ID 116 AUE_PFEXEC class pf (0x0100000000000000) header path pathname of the executable path pathname of working directory [privileges] privileges if the limit or inheritable set are changed [privileges] privileges if the limit or inheritable set are changed [process] process if ruid, euid, rgid or egid is changed exec_arguments [exec_environment] output if arge policy is set subject [use_of_privilege] return
使用特权时,将记录 use_of_privilege 标记。更改限制或可继承权限集时,将记录 privileges 标记。更改 ID 时,将记录 process 标记。无需任何策略选项即可将这些标记包含在记录中。
示例 5-3 将审计记录定义打印到文件在本示例中,添加了 –h 选项,以便将所有审计记录定义以 HTML 格式放置在一个文件中。在浏览器中显示 HTML 文件时,请使用浏览器的“查找”工具来查找特定审计记录定义。
% auditrecord -ah > audit.events.html