AIX命令参考大全，卷 3，i - m

lsaudrec 命令

用途

列出审计日志中的记录。

语法

lsaudrec [-l] [-a | -n node_name1[,node_name2]...] [-S subsystem_name] [-s selection_string] [-x] [-h] [field_name1 [field_name2...]]

描述

lsaudrec 命令用于列出审计日志中的记录。

审计日志是用来记录关于系统操作信息的工具。 它可以包含关于系统正常操作、故障以及其他错误的信息。 它通过传达错误与其它系统活动之间的关系来增加错误日志功能。 所有关于故障的详细信息仍会写入 AIX^(R) 错误日志中。

用于提供创建记录功能的子系统在审计日志中创建记录。例如，事件响应子系统运行在后台，用来监视管理员定义条件，在某个条件为真的时候调用一个或多个操作。由于此系统在后台运行，操作员或管理员难于理解发生的事件集以及因响应事件而采取的操作的结果。 由于事件响应子系统在审计日志中记录了其活动，管理员可以容易地查看其活动，也可以简单地查看使用此命令的其它子系统的活动。

在审计日志中的每个记录包含指定的字段。每个字段包含一个值，它提供对应于记录的情况的信息。 例如，命名为 Time 的字段表示了情况发生的时间。 每个记录都有公共字段集合以及子系统指定字段集合。 在审计日志中的每个记录都有公共字段。 各个记录的子系统指定的字段都不相同。 当与子系统名称一起使用的时候，它们的名称很重要，因为 在所有的子系统中它们不可能唯一。每个记录派生于一个模板，该模板定义了在记录中出现哪个子系统指定的字段， 还定义了用来生成描述情况的消息格式字符串。 格式字符串可以将记录字段用作插入。典型地，子系统可以有许多模板。

字段名称可以用作选择字符串中的变量，以选择显示哪个记录。选择字符串是由 字段名、常量和运算符组成的表达式。选择字符串的语法 类似于 C 编程语言中的表达式或 SQL 的“where”子句。 使用每条记录的引用字段来匹配选择字符串以执行匹配。 显示相匹配的任何记录。选择字符串使用 -s 标志指定。

也可以为此命令指定字段名作为参数，以选择显示哪个字段以及显示它们的顺序。 公共字段名称为：

字段

描述

Time

记录对应的情况出现的时间。 它的值是一个 64 位的整数，代表了自从 Unix 纪元（00:00:00 GMT January 1, 1970）开始的微妙数。请参阅以下常量 以便用对用户更友好的格式指定时间。

Subsystem

生成记录的子系统。此为字符串。

Category

表示对应于审计记录的情况的重要性，该重要性由生成记录的子系统确定。 有效值为：0（信息）和 1（错误）。

SequenceNumber

分配给该记录的唯一 64 位整数。在审计日志中不会存在有相同的序列号的记录。

TemplateId

分配给有着相同内容和格式字符串的记录的子系统相关的标识。该值是 32 位无符号整数。

NodeName

从其上获得记录的节点的名称。此字段名不能在选择字符串中使用。

除了表达式中的常量外，您还可以在此命令中对日期和时间使用以下语法：

#mmddhhmmyyyy

此格式由根据显示的模式解释的一个十进制字符的序列构成。 从左到右，模式中的字段为：mm = 月、dd = 日期、hh = 小时、mm = 分钟、yyyy = 年。例如，#010523042004 对应为 2004 年 1 月 5 日 晚上 11:04。此字段可以从右向左省略。 如果没有提出，则使用以下缺省值：年 = 当前年、 分钟 = 0、小时 = 0、日 = 1、月 = 当前月份。

#-mmddhhmmyyyy

此格式类似于前一个，但是它与当前的时间和日期相关。 例如，#-0001 值对应于一天之前， 而#-010001 值对应于一个月又一个小时之前。 字段可以从右开始省略，也可以使用 0 来替换。

通过使用 -S 标志， 可以将考虑来显示并与选择字符串进行匹配的审计记录限制到指定指定的子系统。如果指定了该标志，那么在选择字符串中，除了公共字段名称外， 还可以使用子系统指定的字段名称。

通过使用 -n 标志，那些其审计日志记录需要被仔细考虑来显示，而且要与选择字符串相匹配的节点可以限制为特定的节点集合。 如果指定了该标志，那么搜索限制在列出的节点集中。否则， 对定义在由 CT_MANAGEMENT_SCOPE 环境变量确定的当前管理作用域中的所有节点进行搜索。

审计记录显示在一张表中。字段名称指定为控制哪个字段被显示以及 它们在每一行上出现的顺序的参数。 缺省情况下，显示的列为：日期与时间、生成记录的子系统名称、情况的严重性以及 描述了情况的子系统指定的消息。如果管理作用域不是本地，那么在第一列显示节点名称。

标志

-l

表示应该生成长输出。长输出包含不包含在格式化消息文本中的子系统指定的字段。

-a

指定显示域中所有节点的记录。 如果同时省略了 -n 和 -a 标志，仅显示本地节点的记录。

-n node_name1[,node_name2]...

指定包含审计日志记录的节点列表，如果这些记录满足了其他的条件，诸如与指定的选择字符串匹配，那么将检查它们并显示。 也可以指定节点组名称，它可以扩展为节点名列表。如果同时省略了 -n 和 -a 标志， 那么仅显示本地节点的记录。

-S subsystem_name

指定子系统名称。如果给出了该标志，那么仅考虑显示由 subsystem_name 标识的记录。 显示的记录可以使用 -s 标志进一步加以限制。 如果子系统名称包含任何空格，那么它必须放在单引号或双引号中。

为了向后兼容，只有在没有指定 -a 和 -S 标志的时候，子系统名称可以 指定使用 -n 标志。

-s selection_string

指定选择字符串。对审计日志中的每条记录评估此字符串。 显示所有匹配选择字符串的记录。 如果选择字符串包含任何空格，那么它必须放在单引号或双引号中。

记录中的字段名称可以在表达式中使用。如果没有指定 -S 标志， 那么仅使用公共字段的名称。请参阅描述以获取公共字段名称以及它们的数据类型的列表。 如果指定了 -S 标志，则可以使用指定子系统的任何字段名以及公共字段名。

如果省略了该标志，那么显示的记录取决于 -S 标志。如果省略了 -S 标志，那么会显示审计日志中的所有记录。否则， 显示由 -S 标志标识的子系统的所有记录。

-x

排除报头（禁止报头打印）。

-h

见命令的用法语句写入标准输出。

参数

field_name1 [field_name2...]

在审计日志记录中指定一个或多个要被显示的字段。 在命令行上字段名的顺序对应于显示它们的顺序。 如果没有指定字段名，则缺省显示 Time、Subsystem、Severity 和 Message。 如果管理作用域不是本地，那么缺省情况下第一列显示 NodeName。 关于这些字段和其他字段的信息，请参阅描述。

安全性

当省略了 -S 标志的时候，为了从审计日志中列出记录，用户必须 在每个将要列出记录的节点上拥有对目标资源类的读取权限。 当指定了 -S 标志的时候，在每个将要列出记录的节点上，用户必须拥有对由 -S 标志 指定的子系统的审计日志资源的读取权限。

权限由每个节点上存在的 RMC 访问控制表（ACL）文件控制。

退出状态

0

命令成功运行。

1

发生 RMC 错误。

2

命令行接口脚本出现错误。

3

在命令行上输入了不正确的标志。

4

在命令行上输入不正确的参数。

5

由于命令行输入不正确出现错误。

环境变量

CT_CONTACT

确定在其上建立与资源监控（RMC）守护进程的会话的系统。 当 CT_CONTACT 设置为主机名或 IP 地址时，命令会和指定主机上的 RMC 守护进程联系。 如果没有设置 CT_CONTACT，那么命令会与运行命令的本地系统上的 RMC 守护进程联系。 RMC 守护进程会话的目标和管理作用域确定了此命令可以影响的资源类或资源。

CT_MANAGEMENT_SCOPE

确定（与 -a 和 -n 标志一起）用于和 RMC 守护进程会话的管理作用域。 管理作用域确定了能够列出审计日志记录的可能目标节点集。 如果没有指定 -a 和 -n 标志，那么使用本地作用域。当指定这两个 标志之一的时候， 使用 CT_MANAGEMENT_SCOPE 来直接确定管理作用域。 有效的值为：

0

指定本地作用域。

1

指定本地作用域。

2

指定对等域作用域。

3

指定管理域作用域。

如果此环境变量没有设置，那么使用本地作用域。

标准输出

当指定了 -h 标志，该命令的用法语句写到标准输出。

示例

1. 要列出由 CT_MANAGMENT_SCOPE 环境变量确定的当前管理作用域内每个节点上的审计日志中的所有记录，请输入：

   lsaudrec

2. 要列出由 CT_MANAGMENT_SCOPE 环境变量确定的当前管理作用域内每个节点上过去一个小时内登录的所有记录，请输入：

   lsaudrec -s "Time > #-000001"

3. 要列出 mynode 和 yournode 节点上 abc 子系统 的审计日志中的每条记录的时间和序列号，请输入：

   lsaudrec -n mynode,yournode -S abc Time SequenceNumber

位置

/usr/sbin/rsct/bin/lsaudrec

包含 lsaudrec 命令

相关信息

命令：rmaudrec