audit -n | -s | -t | -v
audit 命令是系统管理员用于启动、终止和刷新审计服务 auditd(1M) 的接口。刷新审计服务时将重新读取服务和插件配置。
通知审计服务插件 audit_binfile (5) 关闭当前审计文件并在当前审计目录中打开新的审计文件。
将通知 audit_remote(5) 关闭当前打开的连接,这本质上意味着审计远程服务器将关闭相关的审计文件。audit_remote(5) 尝试与同一主机建立新连接,因此打开一个新的审计文件。
如果审计服务未运行,启动(启用)审计服务;如果审计服务当前在运行,刷新审计服务。
终止(禁用)审计服务。审计服务将停止活动插件、停止审计并退出。可使用 –s 选项重新启动审计。
验证至少有一个插件处于活动状态,或者已启用审计远程服务器。验证插件的属性和审计远程服务器的 ars(5) 配置。
audit 命令在成功时将以 0 退出,在失败时将以正整数退出。
有关下列属性的说明,请参见 attributes(5):
|
auditconfig(1M)、auditd(1M)、ars(5)、attributes(5)、audit_binfile (5)
请参见在 Oracle Solaris 11.2 中确保系统和连接设备的安全 中有关审计的部分。
audit 命令不修改进程的 preselection 掩码。它的功能仅限于对审计子系统执行控制操作。有关配置,请参见 auditconfig(1M)。
–s 选项验证审计插件配置。如果配置无效,会显示一条错误消息,且不会启动或刷新审计服务。–v 选项可用在使用 –s 选项启动或刷新审计服务之前验证审计插件配置。
–s 选项还检查审计服务的状态。如果发现审计服务处于维护状态(因此无法启用或刷新),audit 命令将返回相应的消息和退出代码。
audit 命令可供具有“审计控制权限”配置文件的管理员使用。
所有选项均在全局区域内有效。在非全局区域中,如果禁用了 perzone 策略且没有启用审计远程服务器,则只有 –v 选项有效。有关每个区域的审计配置,请参见 auditconfig(1M)。