auditrecord - 显示 Oracle Solaris 审计记录格式
/usr/sbin/auditrecord [-d] [ [-a] | [-e string] | [-c class] |
[-i id] | [-p programname] | [-s systemcall] | [-h]]
auditrecord 实用程序显示 audit_event(5) 中定义的审计记录事件类型的事件 ID、审计类和选择掩码以及记录格式。可以使用 auditrecord 生成所有审计记录格式的列表,或者基于事件类、事件名称、生成程序名称、系统调用名称或事件 ID 选择审计记录格式。
有两种输出格式。缺省格式适用于在终端窗口中进行显示;可选的 HTML 格式适用于使用 Web 浏览器进行查看。
方括号 ([ ]) 中的标记是可选的,可能不会在每个记录中都提供。
支持以下选项:
列出所有审计记录。
列出通过类列表 class 选择的所有审计记录。Valid classes are found in the audit_class files.有关更多信息,请参见 audit_class(5) 手册页。
Debug mode.Display the number of audit records that are defined in audit_event, the number of classes defined in audit_class, any mismatches between the two files, and report which defined events do not have format information available to auditrecord.
列出事件 ID 标签中包含字符串 string 的所有审计记录。匹配项不区分大小写。
以 HTML 格式生成输出。
列出包含数字事件 ID id 的审计记录。
List all audit records generated by the user-space program programname.
List all audit records generated by the system call systemcall.
–p 和 –s 选项是代表同一内容的不同名称,它们是互斥的。如果给定了 –c、–e、–i、–p 或 –s 中的任一个,将忽略 –a 选项。–c、–e、–i 以及 –p 或 –s 通过“与”逻辑关系组合在一起。
以下示例说明如何显示指定审计记录的内容。
% auditrecord -i 6152
terminal login
program /usr/sbin/login See login(1)
/usr/sbin/gdm See gdm(8)
event ID 6152 AUE_login
class lo (0x0000000000001000)
header
subject
return
示例 2 显示事件 ID 标签中包含指定字符串的审计记录
以下示例说明如何显示事件 ID 标签中包含字符串 login 的审计记录的内容。
% auditrecord -e login
terminal login
program /usr/sbin/login See login(1)
/usr/sbin/gdm See gdm(8)
event ID 6152 AUE_login
class lo (0x0000000000001000)
header
subject
return
RBAC: role login
program /usr/bin/su See role login
event ID 6173 AUE_role_login
class lo (0x0000000000001000)
header
subject
return
zone login
program /usr/sbin/login See zlogin(1)
event ID 6227 AUE_zlogin
class lo (0x0000000000001000)
header
subject
[text] error message
return
[...]
Successful operation
Error
提供有效类以及关联审计掩码的列表。
提供数字事件 ID、文本事件名称以及关联的系统调用或程序的名称。
有关下列属性的说明,请参见 attributes(7):
|
audit.log(5)、audit_class(5)、audit_event(5)、attributes(7)、auditconfig(8)、praudit(8)
《Managing Auditing in Oracle Solaris 11.4》
如果无法读取其输入文件或写入其输出文件,auditrecord 将显示导致其失败的文件的名称,然后退出并返回一个非零值。
如果未提供任何选项、提供了无效选项,或者同时提供了 –s 和 –p,将显示一条错误消息,此时 auditrecord 将显示用法消息,然后退出并返回一个非零值。
如果已修改 /etc/security/audit_event 以添加用户定义的审计事件,auditrecord 会将记录格式显示为 undefined。
auditrecord 显示的审计记录是可以生成的记录的核心。还可能会提供各种审计策略和可选标记,例如以下所示各项。
下表列出了 praudit(8) 标记名称及其说明。
如果审计记录 annotation 存在,则存在。
设置 group 审计策略时提供。
在 Trusted Extensions 已启用且代表其关联主题或对象的标签时提供。mandatory_label 标记记录在显式包含标签的基本审计记录中。
设置 seq 审计策略时提供。
设置 trail 审计策略时提供。
设置 zonename 审计策略时生成记录的区域的名称。zonename 标记记录在显式包含区域名称的基本审计记录中。
This functionality was originally provided in the bsmrecord command, which was added in Solaris 9.The command was renamed to auditrecord in Oracle Solaris 11.0.0.