AIX命令参考大全，卷 4，n - r - rmaudrec 命令

[ 页的底部 | 上一页 | 下一页 | 目录 | 索引 | 法律条款 ]

AIX命令参考大全，卷 4，n - r

rmaudrec 命令

用途

除去在审计日志中的记录。

语法

rmaudrec [-a | -n node_name1[,node_name2]...] [-S subsystem_name] -s selection_string [-h] [-V]

描述

rmaudrec 命令用来除去在审计日志中的记录。

审计日志是记录有关系统的操作的工具。它可以包含关于系统的正常的和失败的和其它错误的操作的信息。它通过传达错误与其它系统活动之间的关系来增加错误日志功能。所有关于故障的详细信息仍会写入AIX^(R) 错误日志中。

通过调度的子系统来在审计日志中创建记录。例如，事件响应子系统在后台运行以监视管理员定义的条件并在条件为真时调用一个或多个动作。由于本子系统在后台运行，操作员或管理员很难知道发生的事件的总集以及任何用于响应某事件的操作发生后的结果。由于事件响应子系统在审计日志中记录其活动，管理员可以很容易地查看它和其它子系统的活动。此外，某些时候需要显式地除去记录，这可以使用本命令来实现。

每个在审计日志中的记录包含指定的字段。每个字段包含提供关于跟记录相对的情况的信息的值。例如，名为 Time 的字段表示情况发生的时间。每个记录有一个公用字段集和特定子系统的字段集。公用字段在审计日志中的每个记录中存在。特定于子系统的字段在各个记录中不同。因为它们可能在所有子系统范围内不是唯一的，所以它们的名称只有在使用子系统名时有意义。每个记录都是从某一模板派生出来的，该模板定义存在于记录中的特定子系统字段的范围以及用于生成描述情况的消息的格式字符串。格式字符串可以将记录字段用作插入。一个子系统通常有多个模板。

字段名可以在 selection string 中用作变量来选择要除去的记录。选择字符串与使用每个记录的引用字段来执行匹配的每个记录相匹配。所有匹配的记录都将被除去。选择字符串以 -s 标志指定。

选择字符串是一个由字段名、常量和运算符组成的表达式。选择字符串的语法跟 C 编程语言表达式非常类似。

公用字段名是：

Time: 指定跟记录相对的情况发生的时间。自从 Unix Epoch （00:00:00 GMT January 1, 1970）后值为一个 64 位的整数并代表微秒数。查看在用户友好格式下指定时间的常量。
Subsystem: 指定生成记录的子系统。这是一个字符串。
Category: 表示跟审计记录相对应的情况的重要性，这由生成此记录的子系统确定。有效值是：0 （消息）和 1 （错误）。
SequenceNumber: 指定分配到记录的唯一的 64 位的整数。审计日志中没有其它的记录会有相同的序列号。
TemplateId: 指定分配到有相同内容和格式字符串的记录的依赖于子系统的标识符。值是一个 32 位的无符号整数。
NodeName: 指定获得记录的节点的名称。在选择字符串中不可以使用本字段名。

除了表达式中的常量外，您还可以在此命令中对日期和时间使用以下语法：

#mmddhhmmyyyy: 本格式由十进制字符序列组成，这些序列根据显示的模式进行解释。在模式中的字段，从左到右为：mm ＝月、dd ＝日、hh ＝时、mm ＝分、yyyy ＝年。例如，#010523042002对应于2002 年 1 月 5 日11:04 PM。字段可以从右到左省略。如果不存在，使用以下缺省值：年＝当前年、分＝0、时＝0、日＝1 和月＝当前月。
#-mmddhhmmyyyy: 格式跟上一项类似，但是为相对于当前时间与日期的。例如，值 #-0001 对应于前一天而值 #-010001 对应于一个月和一小时以前。字段可以从右开始省略，省略部分用 0 替换。

准备除去和匹配选择字符串的审计记录可以使用 -S 标志来限制到一个特定子系统。如果指定此标志，选择字符串中除了使用公共字段名外还可以使用特定子系统的字段名。

将从其除去审计日志记录的节点可以使用 -n 标志来限制到一个特殊节点集。如果指定了此标志，搜索将被限定到列出的节点集。否则，搜索将对由 CT_MANAGEMENT_SCOPE 环境变量确定的当前管理作用域内定义的所有节点执行。

建议先使用带有相同的 -s 和 -n 标志值的 lsaudrec 命令来列出将被除去的记录。这最小化选择字符串匹配到比想要的记录多的可能性。

标志

-a

指定域内的所有节点的记录将要除去。如果 -n 和 -a 标志都被省略，则只除去本地节点的记录。

-n node_name1[,node_name2]...

指定包含审计日志记录的节点列表，这里的审计日志记录是指那些满足其它条件（如匹配指定的选择字符串的）而要被检查和考虑除去的那些。也可以指定节点组名，这被扩展到节点名列表中。如果 -n 和 -a 标志都被省略，只除去本地节点的记录。

-S subsystem_name

指定一个子系统名。如果存在此标志，只有用 subsystem_name 标识的记录被考虑除去。要被除去的节点可以进一步用 -s 标志限制。如果子系统名包含有任何空格，空格必须用单引号或双引号括起来。

向后兼容性，只有当 -a 和 -S 标志没有被指定时才使用 -n 标志指定子系统名。

-s selection string

指定一个选择字符串。此字符串对审计日志中的每个记录评估。如果评估结果是一个非零的结果（TRUE），从审计日志中除去记录。如果选择字符串包含有任何空格，空格必须用单引号或双引号括起来。

在记录内的字段名可被用在表达式中。如果未指定 -S 标志，则只能使用公共字段名。请参阅公共字段名及其数据类型列表的描述。如果指定 -S 标志，则指定子系统的字段名可以跟公共字段一起使用。

如果未指定标志，则不会从审计日志中除去记录。

-h

写命令的用法语句到标准输出。

-V

写命令的详细消息到标准错误。

参数

field_name1 [field_name2...]: 指定要显示的审计日志记录中的一个或多个字段。在命令行中的字段名的顺序对应于显示它们的顺序。如果没有指定字段名，缺省显示 Time、Subsystem、Severity 和 Message。如果管理作用域不是本地，缺省情况下在第一列显示节点名。要得到关于这些字段和其它字段的信息，请参阅描述。

安全性

为了在省略 -S 标志时从审计日志中除去记录，用户必须有到要除去记录的每个节点的目标资源类的写许可。当指定了 -S 标志时，用户必须有对审计日志资源的写访问权，该审计日志资源对应于由要除去记录的每个节点上的 -S 标志指定的子系统。

权限由存在于每个节点上的 RMC 访问控制表（ACL）控制。

退出状态

0: 命令已经成功运行。
1: RMC 出现错误.
2: 命令行界面脚本发生错误。
3: 在命令上上输入了不正确的标志。
4: 在命令行中输入了不正确的参数。
5: 发生了命令行输入错误引起的错误。

环境变量

CT_CONTACT

确定与资源监视和控制（RMC）守护程序建立会话的系统。当 CT_CONTACT 设置为主机名或 IP 地址时，命令连接指定主机上的 RMC 守护程序。如果不设置 CT_CONTACT，命令连接运行本命令的本地系统上的 RMC 守护程序。RMC 守护程序会话和管理作用域的目标确定本命令影响的资源类或资源。

CT_MANAGEMENT_SCOPE

确定（与 -a 和 -n 标志一起）跟 RMC 守护程序一起用于会话的管理作用域。管理作用域决定了能被除去的审计日志记录所在的可能目标节点集。如果没有指定 -a 和-n 标志，使用本地作用域。当指定任一标志时，直接使用 CT_MANAGEMENT_SCOPE 来确定管理作用域。有效值为：

0: 指定本地作用域。
1: 指定本地作用域。
2: 指定对等域作用域。
3: 指定管理域作用域。

如果这个环境变量没有设置，使用本地作用域。

标准输出

当指定 -h 标志时，此命令的用法语句将被写入标准输出。

标准错误

如果指定了 -V 标志并且命令成功完成，则指示已除去记录数的消息将写入标准错误。

示例

要从由 CT_MANAGEMENT_SCOPE 环境变量定义的管理作用域中的每个节点的审计日志中除去所有记录，输入：
```
rmaudrec -s "Time > 0"
```
或
```
rmaudrec -s "SequenceNumber >= 0"
```
要从由 CT_MANAGEMENT_SCOPE 环境变量定义的管理作用域中的每个节点的审计日志中除去所有超过一个星期的记录，输入：
```
rmaudrec -s "Time < #-0007"
```
要除去在 mynode 和 yournode 节点上的由 abc 子系统创建的超过一天的记录，输入：
```
rmaudrec -S abc -s "Time < #-0001" -n mynode,yournode
```

位置

/usr/sbin/rsct/bin/rmaudrec: 包含 rmaudrec 命令