praudit 。 要减少用于分析、归档或打印目的的审计跟踪文件,请使用 auditreduce 。 此实用程序支持多种选择参数,包括事件类型、事件类别、用户、事件的日期或时间,以及作用于的文件路径或对象。AUDITFILE 是要转储的审计日志。praudit 按顺序打印令牌,每行打印一个。每个令牌都属于特定类型,例如 header (审计记录标题)或 path (来自名称查找的文件路径)。以下是一个 execve 事件的示例:execve 调用,其中命令 finger doug 已运行。 exec arg 令牌包含由 shell 提供给内核的已处理命令行。 path 令牌包含内核查找的可执行文件的路径。令牌描述 attribute 二进制文件并包括文件模式。令牌存储 subject 审计用户 ID、有效用户 ID 和组 ID、真实用户 ID 和组 ID、进程 ID、会话 ID、端口 ID 和登录地址。注意,审计用户 ID 和真实用户 ID 是不同的,因为在运行此命令之前,用户 robert 切换到 root 帐户,但是使用原始的经过身份验证的用户进行审计。return 令牌表示成功执行, trailer 结束记录。-x来支持 XML 输出格式。auditreduce。这个例子选择了所有为存储在 AUDITFILE 中的用户trhodes 产生的审计记录:audit 组的成员有权读取 /var/audit 中的审计跟踪。默认情况下,该组为空,因此只有 root 用户可以读取审计跟踪。可以将用户添加到 audit 组中以委派审计审查权限。由于跟踪审计日志内容的能力提供了对用户和进程行为的重要洞察,因此建议谨慎执行审计审查权限的委派。root 用户访问。要使 audit 组成员可以访问它们,请将 devfs 规则添加到 /etc/devfs.rules :警告:审计事件反馈周期很容易产生,其中查看每个审计事件会导致生成更多审计事件。例如,如果所有网络 I/O 都经过审计,并且praudit从 SSH 会话运行,则会以高速率生成连续的审计事件流,因为每个被打印的事件都会生成另一个事件。出于这个原因,建议在审计管道设备上从会话运行praudit,而不进行细粒度的I/O审计。
audit 关闭审计、重新配置审计系统和执行日志轮换。下面的命令使审计守护进程创建一个新的审计日志并通知内核切换到使用新的日志。旧日志将被终止并重命名,此时管理员可能会对其进行操作:/etc/crontab 将安排每十二小时轮换一次:/etc/crontab 保存后生效。audit_warn 脚本可用于对各种与审计相关的事件执行自定义操作,包括在轮换审计跟踪时彻底终止它们。例如,可以将以下内容添加到 /etc/security/audit_warn 以在关闭时压缩审计跟踪: