指定有 "Audit Review"(审计查看)权限配置文件的管理员可以限制二进制审计文件的大小,以便于归档和搜索。您也可以使用本节中所述的其中一个选项,以原始文件为基础创建更小的二进制文件。
使用 p_fsize 属性限制各个二进制审计文件的大小。
有关 p_fsize 属性的说明,请参见 audit_binfile (5) 手册页的 OBJECT ATTRIBUTES 部分。
有关示例,请参见Example 4–3。
使用 auditreduce 命令选择记录,并将这些记录写入更小的文件供进一步分析。
auditreduce -lowercase 选项用于查找特定记录。
auditreduce -Uppercase 选项用于将您的选择写入文件。有关更多信息,请参见 auditreduce(1M) 手册页。另请参见显示审计迹数据。