/usr/sbin/auditrecord [-d] [ [-a] | [-e string] | [-c class] | [-i id] | [-p programname] | [-s systemcall] | [-h]]
auditrecord 实用程序显示 audit_event(4) 中定义的审计记录事件类型的事件 ID、审计类和选择掩码以及记录格式。可以使用 auditrecord 生成所有审计记录格式的列表,或者基于事件类、事件名称、生成程序名称、系统调用名称或事件 ID 选择审计记录格式。
有两种输出格式。缺省格式适用于在终端窗口中进行显示;可选的 HTML 格式适用于使用 Web 浏览器进行查看。
方括号 ([ ]) 中的标记是可选的,可能不会在每个记录中都提供。
支持以下选项:
列出所有审计记录。
列出 class 选择的所有审计记录。class 是 /etc/security/audit_class 文件中的双字符类代码之一。
调试模式。显示 audit_event 中定义的审计记录数目、audit_class 中定义的类数目、两个文件之间的任何不匹配项,以及用于定义相关事件的报告,这些事件不包含可供 auditrecord 使用的格式信息。
列出事件 ID 标签中包含字符串 string 的所有审计记录。匹配项不区分大小写。
以 HTML 格式生成输出。
列出包含数字事件 ID id 的审计记录。
列出程序 programname 生成的所有审计记录,例如,用户空间程序生成的审计记录。
列出系统调用 systemcall 生成的所有审计记录,例如,某个系统调用生成的审计记录。
–p 和 –s 选项是代表同一内容的不同名称,它们是互斥的。如果给定了 –c、–e、–i、–p 或 –s 中的任一个,将忽略 –a 选项。–c、–e、–i 以及 –p 或 –s 通过“与”逻辑关系组合在一起。
以下示例说明如何显示指定审计记录的内容。
% auditrecord -i 6152 terminal login program /usr/sbin/login see login(1) /usr/dt/bin/dtlogin See dtlogin event ID 6152 AUE_login class lo (0x00001000) header subject [text] error message return示例 2 显示事件 ID 标签中包含指定字符串的审计记录
以下示例说明如何显示事件 ID 标签中包含字符串 login 的审计记录的内容。
# auditrecord -e login terminal login program /usr/sbin/login see login(1) /usr/dt/bin/dtlogin See dtlogin event ID 6152 AUE_login class lo (0x00001000) header subject [text] error message return rlogin program /usr/sbin/login see login(1) - rlogin event ID 6155 AUE_rlogin class lo (0x00001000) header subject [text] error message return
操作成功
错误
提供有效类以及关联审计掩码的列表。
提供数字事件 ID、文本事件名称以及关联的系统调用或程序的名称。
有关下列属性的说明,请参见 attributes(5):
|
auditconfig(1M)、praudit(1M)、audit.log(4)、audit_class(4)、audit_event(4)、attributes(5)
请参见在 Oracle Solaris 11.2 中确保系统和连接设备的安全 中有关审计的部分。
如果无法读取其输入文件或写入其输出文件,auditrecord 将显示导致其失败的文件的名称,然后退出并返回一个非零值。
如果未提供任何选项、提供了无效选项,或者同时提供了 –s 和 –p,将显示一条错误消息,此时 auditrecord 将显示用法消息,然后退出并返回一个非零值。
此命令以前称为 bsmrecord。
如果已修改 /etc/security/audit_event 以添加用户定义的审计事件,auditrecord 会将记录格式显示为 undefined。
auditrecord 显示的审计记录是可以生成的记录的核心。还可能会提供各种审计策略和可选标记,例如以下所示各项。
下表列出了 praudit(1M) 标记名称及其说明。
设置 group 审计策略时提供。
在 Trusted Extensions 已启用且代表其关联主题或对象的标签时提供。mandatory_label 标记记录在显式包含标签的基本审计记录中。
设置 seq 审计策略时提供。
设置 trail 审计策略时提供。
设置 zonename 审计策略时生成记录的区域的名称。zonename 标记记录在显式包含区域名称的基本审计记录中。