手册页部分 1M: 系统管理命令

退出打印视图

更新时间: 2014 年 7 月
 
 

auditrecord(1M)

名称

auditrecord - 显示 Solaris 审计记录格式

用法概要

/usr/sbin/auditrecord [-d] [ [-a] | [-e string] | [-c class] |
      [-i id] | [-p programname] | [-s systemcall] | [-h]]

描述

auditrecord 实用程序显示 audit_event(4) 中定义的审计记录事件类型的事件 ID、审计类和选择掩码以及记录格式。可以使用 auditrecord 生成所有审计记录格式的列表,或者基于事件类、事件名称、生成程序名称、系统调用名称或事件 ID 选择审计记录格式。

有两种输出格式。缺省格式适用于在终端窗口中进行显示;可选的 HTML 格式适用于使用 Web 浏览器进行查看。

方括号 ([ ]) 中的标记是可选的,可能不会在每个记录中都提供。

选项

支持以下选项:

–a

列出所有审计记录。

–c class

列出 class 选择的所有审计记录。class/etc/security/audit_class 文件中的双字符类代码之一。

–d

调试模式。显示 audit_event 中定义的审计记录数目、audit_class 中定义的类数目、两个文件之间的任何不匹配项,以及用于定义相关事件的报告,这些事件不包含可供 auditrecord 使用的格式信息。

–e string

列出事件 ID 标签中包含字符串 string 的所有审计记录。匹配项不区分大小写。

–h

以 HTML 格式生成输出。

–i id

列出包含数字事件 ID id 的审计记录。

–p programname

列出程序 programname 生成的所有审计记录,例如,用户空间程序生成的审计记录。

–s systemcall

列出系统调用 systemcall 生成的所有审计记录,例如,某个系统调用生成的审计记录。

–p–s 选项是代表同一内容的不同名称,它们是互斥的。如果给定了 –c–e–i–p–s 中的任一个,将忽略 –a 选项。–c–e–i 以及 –p–s 通过“与”逻辑关系组合在一起。

示例

示例 1 显示具有指定事件 ID 的审计记录

以下示例说明如何显示指定审计记录的内容。


% auditrecord -i 6152
  terminal login
  program     /usr/sbin/login      see login(1)
              /usr/dt/bin/dtlogin  See dtlogin
  event ID    6152                 AUE_login
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return
示例 2 显示事件 ID 标签中包含指定字符串的审计记录

以下示例说明如何显示事件 ID 标签中包含字符串 login 的审计记录的内容。


# auditrecord -e login
terminal login
  program     /usr/sbin/login      see login(1)
              /usr/dt/bin/dtlogin  See dtlogin
  event ID    6152                 AUE_login
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

rlogin
  program     /usr/sbin/login      see login(1) - rlogin
  event ID    6155                 AUE_rlogin
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

退出状态

0

操作成功

非零值

错误

文件

/etc/security/audit_class

提供有效类以及关联审计掩码的列表。

/etc/security/audit_event

提供数字事件 ID、文本事件名称以及关联的系统调用或程序的名称。

属性

有关下列属性的说明,请参见 attributes(5)

属性类型
属性值
可用性
system/core-os
CSI
Enabled(已启用)
接口稳定性
Uncommitted(未确定)

另请参见

auditconfig(1M)praudit(1M)audit.log(4)audit_class(4)audit_event(4)attributes(5)

请参见在 Oracle Solaris 11.2 中确保系统和连接设备的安全 中有关审计的部分。

诊断

如果无法读取其输入文件或写入其输出文件,auditrecord 将显示导致其失败的文件的名称,然后退出并返回一个非零值。

如果未提供任何选项、提供了无效选项,或者同时提供了 –s–p,将显示一条错误消息,此时 auditrecord 将显示用法消息,然后退出并返回一个非零值。

附注

此命令以前称为 bsmrecord

如果已修改 /etc/security/audit_event 以添加用户定义的审计事件,auditrecord 会将记录格式显示为 undefined

auditrecord 显示的审计记录是可以生成的记录的核心。还可能会提供各种审计策略和可选标记,例如以下所示各项。

下表列出了 praudit(1M) 标记名称及其说明。

group

设置 group 审计策略时提供。

sensitivity label

在 Trusted Extensions 已启用且代表其关联主题或对象的标签时提供。mandatory_label 标记记录在显式包含标签的基本审计记录中。

sequence

设置 seq 审计策略时提供。

trailer

设置 trail 审计策略时提供。

zone

设置 zonename 审计策略时生成记录的区域的名称。zonename 标记记录在显式包含区域名称的基本审计记录中。