Go to main content

手册页部分 8:系统管理命令

退出打印视图

更新时间: 2022年7月27日 星期三
 
 

auditrecord(8)

名称

auditrecord - 显示 Oracle Solaris 审计记录格式

用法概要

/usr/sbin/auditrecord [-d] [ [-a] | [-e string] | [-c class] |
      [-i id] | [-p programname] | [-s systemcall] | [-h]]

描述

auditrecord 实用程序显示 audit_event(5) 中定义的审计记录事件类型的事件 ID、审计类和选择掩码以及记录格式。可以使用 auditrecord 生成所有审计记录格式的列表,或者基于事件类、事件名称、生成程序名称、系统调用名称或事件 ID 选择审计记录格式。

有两种输出格式。缺省格式适用于在终端窗口中进行显示;可选的 HTML 格式适用于使用 Web 浏览器进行查看。

方括号 ([ ]) 中的标记是可选的,可能不会在每个记录中都提供。

选项

支持以下选项:

–a

列出所有审计记录。

–c class

列出通过类列表 class 选择的所有审计记录。Valid classes are found in the audit_class files.有关更多信息,请参见 audit_class(5) 手册页。

–d

Debug mode.Display the number of audit records that are defined in audit_event, the number of classes defined in audit_class, any mismatches between the two files, and report which defined events do not have format information available to auditrecord.

–e string

列出事件 ID 标签中包含字符串 string 的所有审计记录。匹配项不区分大小写。

–h

以 HTML 格式生成输出。

–i id

列出包含数字事件 ID id 的审计记录。

–p programname

List all audit records generated by the user-space program programname.

–s systemcall

List all audit records generated by the system call systemcall.

–p–s 选项是代表同一内容的不同名称,它们是互斥的。如果给定了 –c–e–i–p–s 中的任一个,将忽略 –a 选项。–c–e–i 以及 –p–s 通过“与”逻辑关系组合在一起。

示例

示例 1 显示具有指定事件 ID 的审计记录

以下示例说明如何显示指定审计记录的内容。

% auditrecord -i 6152

terminal login
  program     /usr/sbin/login      See login(1)
              /usr/sbin/gdm        See gdm(8)
  event ID    6152                 AUE_login
  class       lo                   (0x0000000000001000)
      header
      subject
      return
示例 2 显示事件 ID 标签中包含指定字符串的审计记录

以下示例说明如何显示事件 ID 标签中包含字符串 login 的审计记录的内容。

% auditrecord -e login

terminal login
  program     /usr/sbin/login      See login(1)
              /usr/sbin/gdm        See gdm(8)
  event ID    6152                 AUE_login
  class       lo                   (0x0000000000001000)
      header
      subject
      return

RBAC: role login
  program     /usr/bin/su          See role login
  event ID    6173                 AUE_role_login
  class       lo                   (0x0000000000001000)
      header
      subject
      return

zone login
  program     /usr/sbin/login      See zlogin(1)
  event ID    6227                 AUE_zlogin
  class       lo                   (0x0000000000001000)
      header
      subject
      [text]                       error message
      return

[...]

退出状态

0

Successful operation

non-zero

Error

文件

/etc/security/audit_class
/etc/security/audit_class.system

提供有效类以及关联审计掩码的列表。

/etc/security/audit_event

提供数字事件 ID、文本事件名称以及关联的系统调用或程序的名称。

属性

有关下列属性的说明,请参见 attributes(7)

属性类型
属性值
可用性
system/core-os
CSI
Enabled(已启用)
接口稳定性
Uncommitted(未确定)

另请参见

audit.log(5)audit_class(5)audit_event(5)attributes(7)auditconfig(8)praudit(8)

Managing Auditing in Oracle Solaris 11.4

诊断

如果无法读取其输入文件或写入其输出文件,auditrecord 将显示导致其失败的文件的名称,然后退出并返回一个非零值。

如果未提供任何选项、提供了无效选项,或者同时提供了 –s–p,将显示一条错误消息,此时 auditrecord 将显示用法消息,然后退出并返回一个非零值。

附注

如果已修改 /etc/security/audit_event 以添加用户定义的审计事件,auditrecord 会将记录格式显示为 undefined

auditrecord 显示的审计记录是可以生成的记录的核心。还可能会提供各种审计策略和可选标记,例如以下所示各项。

下表列出了 praudit(8) 标记名称及其说明。

annotation

如果审计记录 annotation 存在,则存在。

group

设置 group 审计策略时提供。

sensitivity label

在 Trusted Extensions 已启用且代表其关联主题或对象的标签时提供。mandatory_label 标记记录在显式包含标签的基本审计记录中。

sequence

设置 seq 审计策略时提供。

trailer

设置 trail 审计策略时提供。

zone

设置 zonename 审计策略时生成记录的区域的名称。zonename 标记记录在显式包含区域名称的基本审计记录中。

History

This functionality was originally provided in the bsmrecord command, which was added in Solaris 9.The command was renamed to auditrecord in Oracle Solaris 11.0.0.