通过合并所有审计目录中的审计文件,可以分析整个审计迹的内容。
开始之前
您必须是指定有 "Audit Review"(审计查看)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
为了降低达到磁盘空间上限的可能性,该文件系统应当位于与您在如何为审计文件创建 ZFS 文件系统中创建的用来存储原始文件的文件系统不同的 zpool 中。
转到用于存储合并的审计文件的目录。从此目录中,将审计记录合并到具有指定后缀的文件中。本地系统上审计迹中的所有目录将被合并,然后放置到此目录中。
# cd audit-storage-directory # auditreduce -Uppercase-option -O suffix
auditreduce 命令的大写选项用于处理审计迹中的文件。大写选项包括:
选择审计迹中的所有文件。
只选择完整文件。
选择带特定后缀的文件。后缀可以是机器名,也可以是为摘要文件指定的后缀。
在当前目录中创建一个审计文件,该文件的开始时间和结束时间均为 14 个字符的时间戳且后缀为 suffix。
指定该选项可读取备用审计根目录 pathname 中的审计文件。
指定该选项可读取指定服务器中的审计文件。
有关选项的完整列表,请参见 auditreduce(1M) 手册页。
在以下示例中,指定有 "System Administrator"(系统管理员)权限配置文件的管理员将审计迹中的所有文件复制到其他文件系统上的合并文件中。/var/audit/storage 文件系统位于独立于 /var/audit 文件系统(审计根文件系统)的磁盘上。
$ cd /var/audit/storage $ auditreduce -A -O All $ ls /var/audit/storage/*All 20100827183214.20100827215318.All
在以下示例中,仅将完整文件从审计迹复制到合并文件中。完整路径指定为 –0 选项的值。路径的最后组成部分 Complete 用作后缀。
$ auditreduce -C -O /var/audit/storage/Complete $ ls /var/audit/storage/*Complete 20100827183214.20100827214217.Complete
$ auditreduce -C -O daily_sys1.1 -D sys1.1 $ ls *sys1.1 20100827183214.20100827214217.daily_sys1.1