praudit(1M)

名称

praudit - 输出审计迹文件的内容

用法概要

praudit [-lrsx] [-ddel] [filename]...

描述

praudit 读取列出的 filename（或者，如果未指定 filename，则读取标准输入）并将数据解释为 audit.log(4) 中定义的审计迹记录。缺省情况下，次数、用户和组 ID（分别为 UID 和 GID）将转换为其 ASCII 表示。记录类型和事件字段将转换为其 ASCII 表示。在命令行中最多可以指定 100 个审计文件。

选项

支持以下选项：

–ddel

使用 del 作为字段分隔符，而不是使用缺省的逗号分隔符。如果 del 对于 shell 具有特殊意义，必须使用引号将其括起来。分隔符的最大大小为三个字符。如果指定了 –x 选项，分隔符将没有任何意义，因此不会使用它。

–l

按每个记录一行的形式输出。

–r

按记录的原始格式输出记录。次数、UIDs、GIDs、记录类型以及事件均显示为整数。此选项在命名服务处于脱机状态时非常有用。–r 选项和 –s 选项互斥。如果同时使用了这两个选项，输出将为格式用法错误消息。

–s

按记录的短格式显示记录。数字字段的 ASCII 等效项是通过 /etc/nsswitch.conf 文件（请参见 nsswitch.conf(4)）中指定的资源进行查找的。所有数字字段在转换为 ASCII 后才能显示。将使用记录类型和事件字段的短 ASCII 表示。此选项和 –r 选项互斥。如果同时使用了这两个选项，输出将为格式用法错误消息。

–x

以 XML 格式输出记录。在输出中将包含标记，以标识相应的标记和标记中的字段。输出的开头为有效的 XML prolog，其中包括可用于解析 XML 的 DTD 标识。

文件

/etc/security/audit_event

审计事件定义和类映射。

/etc/security/audit_class

审计类定义。

/usr/share/lib/xml/dtd

该目录包含 XML 输出中引用的标明版本号的 DTD 文件（例如 adt_record.dtd.1）。

/usr/share/lib/xml/style

该目录包含 XML 输出中引用的标明版本号的 XSL 文件（例如 adt_record.xsl.1）。

属性

有关下列属性的说明，请参见 attributes(5)：

属性类型 属性值 可用性 system/core-os 接口稳定性 请参见下文。

命令稳定性是 evolving（发展中）。输出格式是 unstable（不稳定）。

另请参见

getent(1M)、getpwuid(3C)、gethostbyaddr(3NSL)、ethers(3SOCKET)、getipnodebyaddr(3SOCKET)、audit.log(4)、audit_class(4)、audit_event(4)、group(4)、nsswitch.conf(4)、passwd(4)、attributes(5)

请参见在 Oracle Solaris 11.2 中确保系统和连接设备的安全 中有关审计的部分。