auditpr [ -m "Message" ] [ -t { 0 | 1 | 2 } ] [ -h { e l R t c r p P T h } ] [ -r ] [ -v ]
auditpr 命令是审计子系统的一部分。此命令从标准输入读取二进制或流格式的审计记录,并将格式化后的记录发送到标准输出。
输出格式由所选的标志确定。如果指定 -m 标志,则在每个报头前显示一条消息。请使用 -t 和 -h 标志来更改缺省报头标题和字段,并使用-v 标志来附加审计跟踪。auditpr 命令搜索本地 /etc/passwd 文件以将用户和组标识转换为名称。
使用缺省报头信息的输出的示例如下:
事件 登录 状态 时间 命令
登录 dick OK 星期五 2 月 8 日 14:03:57 1990 login
. . . . . 跟踪部分 . . . . .
有关审计跟踪的示例,请参阅定义审计跟踪格式的 /etc/security/audit/events 文件。
可能的话,跳过无效记录并发出错误消息。如果命令不能从错误恢复,则处理停止。
| -d | 以微秒分辨率计算的输出数据。该格式的日期的输出是:
DD MMM YYYY hh:mm:ss.uuuuuu |
| -h Fields | 选择要显示的字段以及显示它们的顺序,缺省为 e、l、R、t 和 c。有效的值是: |
| -m "Message" | 指定要和每个报头一起显示的 Message。必须将 Message 字符串括在双引号内。 |
| -r | 禁止标识转化为符号名称。 |
| -t {0 | 1 | 2} | 指定显示报头标题的时间。缺省标题由一条可选的消息(请参阅 -m 标志)后跟输出的每个列的名称构成。
|
| -v | 使用 /etc/security/audit/events 文件中的格式规范来显示每个审计记录的跟踪。 |
访问控制:此命令应向 root 用户和审计组的成员授予执行(x)访问权。此命令应该是 root 用户的 setuid 并具有可信计算基属性。
访问的文件:
| 方式 | 文件 |
|---|---|
| r | /etc/security/audit/events |
| r | /etc/passwd |
| r | /etc/group |
/usr/sbin/auditstream | /usr/sbin/auditpr -t0 -heRl
| /usr/sbin/auditpr | 指定 auditpr 命令的路径。 |
| /etc/security/audit/config | 包含审计系统配置信息。 |
| /etc/security/audit/events | 包含系统的审计事件。 |
| /etc/security/audit/objects | 包含被审计对象(文件)的审计事件。 |
| /etc/security/audit/bincmds | 包含 auditbin 后端命令。 |
| /etc/security/audit/streamcmds | 包含审计流命令。 |
| /etc/security/audit/hosts | 包含“CPU 标识到主机名”的映射。 |
audit 命令、auditcat 命令、auditconv 命令、auditselect 命令、auditstream 命令。
auditbin 守护进程。
audit 子例程。
events 文件。
有关审计的一般信息,请参考《AIX 5L V5.2 安全指南》中的『审计概述』。
要参阅您建立“审计系统”必须采取的步骤,请参考《AIX 5L V5.2 安全指南》中的『建立审计』。
有关用户的标识和认证,任意访问控制、可信计算基以及审计的更多信息,请参考《AIX 5L V5.2 安全指南》中的『单机系统安全性』。