auditstream [ -m ] [ -c Class ...]
auditstream 命令是审计子系统的一部分。此命令从 /dev/audit 文件(审计设备)读取审计记录,并将记录以二进制格式复制到标准输出。可以通过用 -c 标志指定审计类(在 /etc/security/audit/config 文件中定义)来选择审计记录的子集;否则,将复制所有当前启用的审计类。
审计流数据可以在它生成时显示并处理。例如,命令输出可以传送到审计后端命令以获得进一步的处理或可以重定向至文件。auditselect 命令(根据定义的标准选择数据记录)和 auditpr 命令(格式化记录来查看或打印)都是后端命令的示例。
auditstream 命令可从命令行调用或可作为审计系统配置的一部分配置为多次运行。有关配置 auditstream 命令的信息,请参考《AIX 5L V5.2 安全指南》中的『建立审计』和 /etc/security/audit/config 文件。
注:auditstream 命令应在后台运行。
| -c Class | 指定要复制的审计类。每个类必须在 etc/security/audit/config 文件中配置为以逗号隔开的审计事件的列表。缺省值是所有当前启用的审计事件。 |
| -m | 在每个审计记录中包含 CPU 标识。 |
访问控制:此命令应向 root 用户和审计组的成员授予执行(x)访问权。此命令应该是 root 用户的 setuid 并具有可信计算基属性。
访问的文件:
| 方式 | 文件 |
|---|---|
| r | /dev/audit |
cmds = /etc/security/audit/streamcmds
然后将以下命令添加到启动节中:
streammode=on
接着,将应在审计系统初始化时执行的所有流命令添加到 etc/security/audit/streamcmds 文件中。例如:
/usr/sbin/auditstream -c authentication | \ /usr/sbin/auditpr -v > /dev/console /usr/sbin/auditstream | /usr/sbin/auditselect -e \ "result == FAIL_ACCESS" | \ /usr/sbin/auditpr -t 2 -v > /dev/lpr2
第一个命令格式化认证类中事件的所有记录并将它们写至系统控制台。第二个命令格式化在访问被拒时生成的所有记录并将它们打印到打印机 /dev/lp2 上。
/usr/sbin/auditstream | /usr/sbin/auditselect -e "event == \ USER_Login || event == USER_SU" | \ /usr/sbin/auditpr -v > /dev/lp0 &
此命令格式化所有用户登录和 su 事件并将它们写至行式打印机。
| /usr/sbin/auditstream | 指定 auditstream 命令的路径。 |
| /etc/rc | 包含系统启动例程。 |
| /dev/audit | 指定审计设备。 |
| /etc/security/audit/config | 包含审计系统配置信息。 |
| /etc/security/audit/events | 包含系统的审计事件。 |
| /etc/security/audit/objects | 包含被审计对象(文件)的审计事件。 |
| /etc/security/audit/bincmds | 包含 auditbin 后端命令。 |
| /etc/security/audit/streamcmds | 包含审计流命令。 |
| /etc/security/audit/hosts | 包含主机和 CPU 标识。 |
audit 命令、auditcat 命令、auditconv 命令、auditpr 命令、auditselect 命令。
auditbin 守护进程。
有关审计的一般信息,请参考《AIX 5L V5.2 安全指南》中的『审计概述』。
有关用户的标识和认证,任意访问控制、可信计算基以及审计的更多信息,请参考《AIX 5L V5.2 安全指南》中的『单机系统安全性』。
要参阅您建立“审计系统”必须采取的步骤,请参考《AIX 5L V5.2 安全指南》中的『建立审计』。