对于指定有 "Audit Review"(审计查看)权限配置文件的管理员,可以使用 auditreduce 命令过滤审计记录以进行检查。该命令可以在合并输入文件时删除不太感兴趣的记录。
auditreduce -option argument [optional-file]
其中,argument 是选项需要的特定参数。
以下是部分记录选择选项及其对应参数的列表:
选择一个审计类,其中 argument 是审计类,如 ua。
选择特定日期的所有事件。argument 的日期格式为 yyymmdd。其他日期选项(如 –b 和 –a)可分别选择特定日期之前和之后的事件。
选择归属于特定用户的所有事件。您需要为此选项指定一个用户名。另一个用户选项 –e 选择归属于有效用户 ID 的所有事件。
选择归属于特定组的所有事件。需要为此选项指定一个组名称。
选择预选审计类中的所有事件。要使用该选项,请指定一个审计类名称。
选择特定审计事件的所有实例。
按对象类型进行选择。使用此选项可按文件、组、文件所有者、FMRI、PID 和其他对象类型进行选择。
审计文件的名称。
该命令也使用全部以大写表示的文件选择选项,如以下示例所示。有关选项的完整列表,请参见 auditreduce(1M) 手册页。
示例 5-4 合并和减少审计文件在本示例中,仅保留审计文件中一个月以前的登录和注销记录。此示例假定当前日期为 9 月 27 日。如果需要获取完整的审计迹,可以从备份介质中恢复。–O 选项将该命令的输出定向到名为 lo.summary 的文件。
# cd /var/audit/audit_summary # auditreduce -O lo.summary -b 20100827 -c lo; compress *lo.summary示例 5-5 将一个用户的审计记录复制到摘要文件
在本示例中,合并审计迹中包含特定用户名称的记录。–e 选项用于查找有效用户。–u 选项查找登录用户。–O 选项将输出定向到文件 tamiko。
# cd /var/audit/audit_summary # auditreduce -e tamiko -O tamiko
您可以进一步减少显示的信息。在下一个示例中,将过滤以下内容并将其打印到名为 tamikolo 的文件。
由 –c 选项指定的用户登录和注销时间。
由 –d 选项指定的日期:2013 年 9 月 7 日。日期的简洁形式为 yyyymmdd。
由 –u 选项指定的用户名:tamiko。
由 –M 选项指定的计算机名。
# auditreduce -M tamiko -O tamikolo -d 20130907 -u tamiko -c lo示例 5-6 将选定记录合并到单个文件中
在本示例中,将从审计迹中选择特定日期的登录和注销记录。将这些记录合并到一个目标文件中。将目标文件写入到包含审计根目录的文件系统以外的文件系统。
# auditreduce -c lo -d 20130827 -O /var/audit/audit_summary/logins # ls /var/audit/audit_summary/*logins /var/audit/audit_summary/20130827183936.20130827232326.logins