auditrecord - Oracle Solaris 監査レコード形式の表示
/usr/sbin/auditrecord [-d] [ [-a] | [-e string] | [-c class] |
[-i id] | [-p programname] | [-s systemcall] | [-h]]
auditrecord ユーティリティーは、audit_event(5) で定義された監査レコードイベントタイプのイベント ID、監査クラスと選択マスク、およびレコード形式を表示します。auditrecord を使用すれば、すべての監査レコード形式の一覧を生成したり、イベントクラス、イベント名、生成元プログラム名、システムコール名、またはイベント ID に基づいて監査レコード形式を選択したりできます。
出力形式は 2 つあります。デフォルト形式は端末ウィンドウで表示するためのもので、オプションの HTML 形式は Web ブラウザで表示するためのものです。
角括弧 ( [ ] ) で囲まれたトークンはオプションで、すべてのレコードに存在するわけではありません。
サポートしているオプションは、次のとおりです。
すべての監査レコードを一覧表示します。
クラス class の一覧で選択されたすべての監査レコードを一覧表示します。Valid classes are found in the audit_class files.詳細は、audit_class(5) のマニュアルページを参照してください。
Debug mode.Display the number of audit records that are defined in audit_event, the number of classes defined in audit_class, any mismatches between the two files, and report which defined events do not have format information available to auditrecord.
イベント ID ラベルに文字列 string が含まれているすべての監査レコードを一覧表示します。照合では大文字と小文字は区別されません。
HTML 形式で出力を生成します。
数値イベント ID id を持つ監査レコードを一覧表示します。
List all audit records generated by the user-space program programname.
List all audit records generated by the system call systemcall.
–p オプションと –s オプションは同じものの異なる名前で、相互排他的です。–c、–e、–i、–p、–s のいずれかを指定すると、–a オプションは無視されます。–c、–e、–i、および –p または –s の組み合わせは、AND でつながれます。
次の例では、指定された監査レコードの内容を表示する方法を示します。
% auditrecord -i 6152
terminal login
program /usr/sbin/login See login(1)
/usr/sbin/gdm See gdm(8)
event ID 6152 AUE_login
class lo (0x0000000000001000)
header
subject
return
使用例 2 指定された文字列が含まれるイベント ID ラベルを持つ監査レコードを表示する
次の例では、文字列 login が含まれるイベント ID ラベルを持つ監査レコードの内容を表示する方法を示します。
% auditrecord -e login
terminal login
program /usr/sbin/login See login(1)
/usr/sbin/gdm See gdm(8)
event ID 6152 AUE_login
class lo (0x0000000000001000)
header
subject
return
RBAC: role login
program /usr/bin/su See role login
event ID 6173 AUE_role_login
class lo (0x0000000000001000)
header
subject
return
zone login
program /usr/sbin/login See zlogin(1)
event ID 6227 AUE_zlogin
class lo (0x0000000000001000)
header
subject
[text] error message
return
[...]
Successful operation
Error
有効なクラスと関連する監査マスクのリストを提供します。
数値イベント ID、リテラルイベント名、および関連するシステムコールまたはプログラムの名前を提供します。
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
audit.log(5)、audit_class(5)、audit_event(5)、attributes(7)、auditconfig(8)、praudit(8)
Managing Auditing in Oracle Solaris 11.4
入力ファイルのいずれかを読み取れないか出力ファイルを書き込めない場合、auditrecord は失敗したファイルの名前を表示し、ゼロ以外の値を返して終了します。
オプションが 1 つも指定されなかった場合、無効なオプションが指定された場合、または –s と –p の両方が指定された場合は、エラーメッセージが表示され、auditrecord は使用法メッセージを表示してからゼロ以外の値を返して終了します。
ユーザー定義監査イベントを追加するために /etc/security/audit_event が変更されていた場合、auditrecord はレコード形式を undefined として表示します。
auditrecord で表示される監査レコードは、生成可能なレコードのコアです。次に示すようなさまざまな監査ポリシーやオプショントークンも存在している可能性があります。
praudit(8) トークン名とその説明の一覧を示します。
監査レコード annotation が存在する場合に存在します。
group 監査ポリシーが設定されている場合に存在します。
Trusted Extensions が有効になっている場合に存在し、関連付けられたサブジェクトまたはオブジェクトのラベルを表します。ラベルが明示的にレコードの一部である基本監査レコードでは、mandatory_label トークンが見られます。
seq 監査ポリシーが設定されている場合に存在します。
trail 監査ポリシーが設定されている場合に存在します。
レコードを生成するゾーンの名前 (zonename 監査ポリシーが設定されている場合)。ゾーン名が明示的にレコードの一部である基本監査レコードでは、zonename トークンが見られます。
This functionality was originally provided in the bsmrecord command, which was added in Solaris 9.The command was renamed to auditrecord in Oracle Solaris 11.0.0.