audit - 控制审计服务的行为
audit -n | -s | -t | -v
audit 命令是系统管理员用于启动、终止和刷新审计服务 auditd(8) 的接口。刷新审计服务时将重新读取服务和插件配置。
通知审计服务插件 audit_binfile(7) 关闭当前审计文件并在当前审计目录中打开新的审计文件。
将通知 audit_remote(7) 关闭当前打开的连接,这本质上意味着审计远程服务器将关闭相关的审计文件。audit_remote(7) 尝试与同一主机建立新连接,因此打开一个新的审计文件。
如果审计服务未运行,启动(启用)审计服务;如果审计服务当前在运行,刷新审计服务。
终止(禁用)审计服务。审计服务将停止活动插件、停止审计并退出。可使用 –s 选项重新启动审计。
验证至少有一个插件处于活动状态,或者已启用审计远程服务器。验证插件的属性和审计远程服务器的 ars(7) 配置。
audit 命令在成功时将以 0 退出,在失败时将以正整数退出。
有关下列属性的说明,请参见 attributes(7):
|
ars(7)、attributes(7)、audit_binfile(7)、auditconfig(8)、auditd(8)
《Managing Auditing in Oracle Solaris 11.4》
audit 命令不修改进程的预选掩码。它的功能仅限于对审计子系统执行控制操作。有关配置,请参见 auditconfig(8)。
–s 选项验证审计插件配置。如果配置无效,会显示一条错误消息,且不会启动或刷新审计服务。–v 选项可用在使用 –s 选项启动或刷新审计服务之前验证审计插件配置。
–s 选项还检查审计服务的状态。如果发现审计服务处于维护状态(因此无法启用或刷新),audit 命令将返回相应的消息和退出代码。
The audit command is available to administrators who have the Audit Control Rights Profile.
所有选项均在全局区域内有效。在非全局区域中,如果禁用了 perzone 策略且没有启用审计远程服务器,则只有 –v 选项有效。有关每个区域的审计配置,请参见 auditconfig(8)。
The –v option was added in Solaris 10 3/05.
The audit command was added in Solaris 2.3.