auditrecord(1M)

名称

auditrecord - 显示 Solaris 审计记录格式

用法概要

/usr/sbin/auditrecord [-d] [ [-a] | [-e string] | [-c class] |
      [-i id] | [-p programname] | [-s systemcall] | [-h]]

描述

auditrecord 实用程序显示 audit_event(4) 中定义的审计记录事件类型的事件 ID、审计类和选择掩码以及记录格式。可以使用 auditrecord 生成所有审计记录格式的列表，或者基于事件类、事件名称、生成程序名称、系统调用名称或事件 ID 选择审计记录格式。

有两种输出格式。缺省格式适用于在终端窗口中进行显示；可选的 HTML 格式适用于使用 Web 浏览器进行查看。

方括号 ([ ]) 中的标记是可选的，可能不会在每个记录中都提供。

选项

支持以下选项：

–a

列出所有审计记录。

–c class

列出 class 选择的所有审计记录。class 是 /etc/security/audit_class 文件中的双字符类代码之一。

–d

调试模式。显示 audit_event 中定义的审计记录数目、audit_class 中定义的类数目、两个文件之间的任何不匹配项，以及用于定义相关事件的报告，这些事件不包含可供 auditrecord 使用的格式信息。

–e string

列出事件 ID 标签中包含字符串 string 的所有审计记录。匹配项不区分大小写。

–h

以 HTML 格式生成输出。

–i id

列出包含数字事件 ID id 的审计记录。

–p programname

列出程序 programname 生成的所有审计记录，例如，用户空间程序生成的审计记录。

–s systemcall

列出系统调用 systemcall 生成的所有审计记录，例如，某个系统调用生成的审计记录。

–p 和 –s 选项是代表同一内容的不同名称，它们是互斥的。如果给定了 –c、–e、–i、–p 或 –s 中的任一个，将忽略 –a 选项。–c、–e、–i 以及 –p 或 –s 通过“与”逻辑关系组合在一起。

示例

示例 1 显示具有指定事件 ID 的审计记录

以下示例说明如何显示指定审计记录的内容。

% auditrecord -i 6152
  terminal login
  program     /usr/sbin/login      see login(1)
              /usr/dt/bin/dtlogin  See dtlogin
  event ID    6152                 AUE_login
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

示例 2 显示事件 ID 标签中包含指定字符串的审计记录

以下示例说明如何显示事件 ID 标签中包含字符串 login 的审计记录的内容。

# auditrecord -e login
terminal login
  program     /usr/sbin/login      see login(1)
              /usr/dt/bin/dtlogin  See dtlogin
  event ID    6152                 AUE_login
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

rlogin
  program     /usr/sbin/login      see login(1) - rlogin
  event ID    6155                 AUE_rlogin
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

退出状态

0

操作成功

非零值

错误

文件

/etc/security/audit_class

提供有效类以及关联审计掩码的列表。

/etc/security/audit_event

提供数字事件 ID、文本事件名称以及关联的系统调用或程序的名称。

属性

有关下列属性的说明，请参见 attributes(5)：

属性类型 属性值 可用性 system/core-os CSI Enabled（已启用） 接口稳定性 Uncommitted（未确定）

另请参见

auditconfig(1M)、praudit(1M)、audit.log(4)、audit_class(4)、audit_event(4)、attributes(5)

请参见在 Oracle Solaris 11.2 中确保系统和连接设备的安全 中有关审计的部分。

诊断

如果无法读取其输入文件或写入其输出文件，auditrecord 将显示导致其失败的文件的名称，然后退出并返回一个非零值。

如果未提供任何选项、提供了无效选项，或者同时提供了 –s 和 –p，将显示一条错误消息，此时 auditrecord 将显示用法消息，然后退出并返回一个非零值。

附注

此命令以前称为 bsmrecord。

如果已修改 /etc/security/audit_event 以添加用户定义的审计事件，auditrecord 会将记录格式显示为 undefined。

auditrecord 显示的审计记录是可以生成的记录的核心。还可能会提供各种审计策略和可选标记，例如以下所示各项。

下表列出了 praudit(1M) 标记名称及其说明。

group

设置 group 审计策略时提供。

sensitivity label

在 Trusted Extensions 已启用且代表其关联主题或对象的标签时提供。mandatory_label 标记记录在显式包含标签的基本审计记录中。

sequence

设置 seq 审计策略时提供。

trailer

设置 trail 审计策略时提供。

zone

设置 zonename 审计策略时生成记录的区域的名称。zonename 标记记录在显式包含区域名称的基本审计记录中。