watch [ -e Events ] [ -o File ] Command [ Parameter ... ]
watch 命令允许 root 用户或一个审计组成员观察一个认为是不可信赖的程序操作。watch 命令 执行用 Command 参数指定的程序, 可以带任何 Parameter 字段也可以不带,记录 所有审计事件或用 -e 标志指定的审计事件。
watch 命令观察所有 在程序运行时创建的进程,包括任何子进程。watch 命令 会继续直到所有的进程(包括它创建的进程)退出,以观察所有发生的事件。
watch 命令格式化 审计记录并把它们写到标准输出或用 -o 标志指定的一个文件。
为了使 watch 命令起作用, 一定不要配置和启用审计子系统。
| -eEvents | 指定要审计的事件。Events 参数是 在 /etc/security/audit/events 文件中定义的 以逗号分隔的审计事件列表。缺省值是所有事件。 |
| -o File | 指定输出文件的路径名。如果没有使用 -o 标志,则输出写到标准输出。 |
访问控制:这个命令应授予 root 用户 和审计组成员执行(x)访问权。该命令应该为 root 用户的 setuid,以使其能访问其它审计 子系统命令和文件,并有可信计算库属性。
访问的文件:
| 方式 | 文件 |
|---|---|
| r | /dev/audit |
| x | /usr/sbin/auditstream |
| x | /usr/sbin/auditselect |
| x | /usr/sbin/auditpr |
watch -e FILE_Open /usr/lpp/foo/bar -x
这个命令打开审计设备并执行 /usr/lpp/foo/bar 命令。然后 它读取所有记录并选择和格式化那些 FILE_Open 事件类型的记录。
watch /usr/sbin/installp xyzproduct
这个命令 打开审计设备并执行 /usr/sbin/installp 命令。然后 读取所有记录并将它们格式化。
| /usr/sbin/watch | 包含 watch 命令。 |
| /dev/audit | 指定从中读取审计记录的审计设备。 |
audit 命令、auditbin 守护进程、auditcat 命令、auditpr 命令、auditselect 命令、auditstream 命令、login 命令、logout 命令、su 命令。
auditread 子例程。
关于用户的标识和认证、自主访问控制、可信计算库和审计的更多信息,请参阅《AIX 5L V5.2 安全指南》。
关于审计的更多信息,请参阅《AIX 5L V5.2 安全指南》中的『审计综述』。