将多个审计跟踪文件并入单个跟踪文件。
/usr/sbin/auditmerge [ -q ] file [ file ... ]
auditmerge 命令将来自潜在的多个机器的多个审计跟踪文件并入单个审计跟踪文件。对于有记录剩余的每个文件,具有最早时间戳记的记录添加到输出。如果发现具有负时间更改的记录,可能发出可选的警告消息。处理继续且任何这样的记录输出时不更改它们的时间值。
auditmerge 命令还能够将来自二进制报头的 CPU 标识值添加至每个输出记录。在二进制报头和二进制文件的报尾用比 AIX 4.3.1 更新的版本号对 CPU 标识值进行编码。
-q 标志用于控制输出警告消息。当首次看到具有负时间更改的记录,则输出单个警告消息。该消息包含包括记录和时间差的文件的名称。当在命令行给出 -q 标志时,将禁止这些消息。
| -q | 用于控制输出警告消息。 |
访问控制:此命令应向 root 用户和审计组的成员授予执行(x)访问权。此命令应该是 root 用户的 setuid 并具有可信计算基属性。
/usr/bin/auditmerge /audit/trail.calvin /audit/trail.hobbes > /audit/trail.merge
/usr/bin/auditmerge /audit/trail.jim /audit/trail.julie > /audit/trail.both
/usr/bin/auditmerge -q /audit/jumbled.1 /audit/jumbled.2 > /audit/jumbled.output
| /etc/security/audit/hosts | 包含“CPU 标识到主机名”的映射。 |
auditpr 命令、auditstream 命令、auditselect 命令。
auditread 子例程、getaudithostattr 子例程。