Commande auditpr

Objectif

Formate les enregistrements d'audit de flux ou de flux sur un périphérique d'affichage ou une imprimante.

Syntaxe

auditpr [-i inputfile ] [ -t  0 | 1 | 2 ] [ -m Message ] [ -r ] [ -v | -w] [ -X][ -h field[,field]*]

Descriptif

La commande auditpr fait partie du sous-système d'audit. Cette commande lit les enregistrements d'audit, au format bin ou flux, à partir de l'entrée standard et envoie des enregistrements formatés à la sortie standard.

Le format de sortie est déterminé par les indicateurs sélectionnés. Si vous spécifiez l'indicateur -m , un message s'affiche avant chaque en-tête. Utilisez les indicateurs -t et -h pour modifier les titres et les zones d'en-tête par défaut et l'indicateur -v pour ajouter une trace d'audit. La commande auditpr recherche le fichier /etc/passwd local pour convertir les ID utilisateur et de groupe en noms.

Voici un exemple de sortie à l'aide des informations d'en-tête par défaut:

event   login   status   time                             command
        wpar name
login   dick     OK       Fri  Feb;8   14:03:57    1990   login
        Global
 . . . . . trail portion . . . . .

Pour obtenir des exemples de traces d'audit, voir le fichier /etc/security/audit/events dans lequel les formats de trace d'audit sont définis.

Les enregistrements non valides sont ignorés lorsque cela est possible et un message d'erreur est émis. Si la commande ne peut pas se remettre d'une erreur, le traitement s'arrête.

La variable d'environnement AIX_AUDITBUFSZ autorise l'opération d'écriture en mémoire tampon des enregistrements d'audit auditpr . L'option d'écriture en mémoire tampon est utile pour les applications hautes performances qui génèrent de nombreux enregistrements d'audit.

La variable d'environnement AIX_AUDITBUFSZ accepte les valeurs décimales et hexadécimales de 8192 octets-67 Mo. Toutes les autres valeurs positives en dehors de la plage de valeurs autorisées sont arrones au début de la plage ou à la fin de la plage en fonction de la valeur la plus proche. Si cette valeur de variable n'est pas définie ou si cette variable est affectée à des valeurs négatives ou à des valeurs non numériques, la variable AIX_AUDITBUFSZ est ignorée.

Indicateurs

Tableau 1. Indicateurs
Article	Descriptif
-h `zone`[`,zone]*`	Sélectionne les zones à afficher et l'ordre dans lequel les afficher, par défaut `e`, `l, R`,`t`et `c`. Vous pouvez indiquer les valeurs suivantes : `E` L'événement d'audit. `l` Nom de connexion de l'utilisateur. `R` Statut d'audit. `t` Heure de l'écriture de l'enregistrement. `c` Nom de la commande. `r` Nom réel de l'utilisateur. `p` ID du processus. `P` ID du processus parent. `T` ID de l'unité d'exécution du noyau. Ceci est local au processus ; différents processus peuvent contenir des unités d'exécution avec le même ID d'unité d'exécution. `h` Nom de l'hôte qui a généré l'enregistrement d'audit. S'il n'y a pas d'ID UC dans l'enregistrement d'audit, la valeur `none` est utilisée. S'il n'y a pas d'entrée correspondante pour l'ID unité centrale dans l'enregistrement d'audit, la valeur de 16 caractères de l'ID unité centrale est utilisée à la place. `i` ID ou noms des rôles du processus d'audit. `E` Le privilège effectif. `S` Le label de sensibilité efficace (SL). `I` Etiquette d'intégrité effective (TL). `W` Nom Partition de charge .
-i `fichier_entrée`	Indique le chemin d'accès au fichier de trace d'audit. Si l'indicateur -i n'est pas spécifié, la commande auditpr lit les données à partir de `stdin`.
-m `"Message``"`	Indique un `Message` à afficher avec chaque en-tête. Placez la chaîne `Message` entre guillemets.
-r	Supprime la conversion d'ID au nom symbolique.
-t `{0 \| 1 \| 2}`	Indique quand les titres d'en-tête sont affichés. Le titre par défaut est constitué d'un message facultatif (voir l'indicateur -m ) suivi du nom de chaque colonne de sortie. 0 Ignore tout titre. 1 Affiche un titre une fois au début d'une série d'enregistrements. 2 Affiche un titre avant chaque enregistrement.
-v	Affiche la trace de chaque enregistrement d'audit, à l'aide des spécifications de format du fichier /etc/security/audit/events . L'indicateur -v et l'indicateur -w s'excluent mutuellement.
-w	Affiche la trace et l'enregistrement d'audit sur une seule ligne, en utilisant le format spécifié dans le fichier /etc/security/audit/events . L'indicateur -w et l'indicateur -v s'excluent mutuellement.
-X	Imprime les noms d'utilisateur longs à la fin de l'enregistrement d'audit lorsque l'indicateur -X est utilisé avec d'autres indicateurs qui affichent les noms d'utilisateur. La limite maximale est déterminée par l'attribut `max_logname` Object Data Manager (ODM) dans les classes d'objets `PdAt` et `CuAt` . Si un nom d'utilisateur est supérieur à l'attribut `max_logname` , il est tronqué au nombre de caractères moins 1, qui est spécifié par l'attribut `max_logname` .

Security

Contrôle d'accès

Cette commande doit accorder l'accès en exécution (x) à l'utilisateur root et aux membres du groupe d'audit. La commande doit être Setuid pour l'utilisateur root et avoir l'attribut Base de calcul sécurisée .

Fichiers accédés

Tableau 2. Fichier accédé
aff	Fichier
R	/etc/security/audit/events
R	/etc/passwd
R	/etc/group

Utilisateurs RBAC

Attention aux utilisateurs du contrôle d'accès à base de rôles: Cette commande peut effectuer des opérations privilégiées. Seuls les utilisateurs privilégiés peuvent exécuter des opérations privilégiées. Pour plus d'informations sur les autorisations et les privilèges, voir Base de données des commandes privilégiées dans Sécurité. Pour obtenir la liste des privilèges et des autorisations associés à cette commande, voir la commande 'lssecattr ou la sous-commande 'getcmdattr

Exemples

Pour lire le fichier de trace d'audit système avec des titres et des zones d'en-tête par défaut et une trace d'audit, entrez:
```
/usr/sbin/auditpr -v < /audit/trail 
```
. Le fichier /audit/trail doit contenir des casiers ou des enregistrements d'audit valides.
Pour formater à partir d'un fichier de trace d'audit tous les événements d'audit provoqués par l'utilisateur witte, entrez:
```
/usr/sbin/auditselect -e"login == witte"\
/audit/trail | auditpr  -v
```
L'enregistrement résultant est formaté avec les valeurs par défaut (e, c, l, R, and t) et inclut une trace.
Pour lire les enregistrements en mode interactif à partir de l'unité d'audit, entrez:
```
/usr/sbin/auditstream | /usr/sbin/auditpr -t0 -heRl 
```
Pour activer l'option d'écriture en mémoire tampon pour les enregistrements d'audit dont la taille de mémoire tampon est de 520000 octets pour le sous-système d'audit démarré en mode bin, entrez la commande suivante:
```
export AIX_AUDITBUFSZ=520000
/usr/sbin/auditpr -v -i /audit/trail > output 
```

Fichiers

Tableau 3. fichiers
Article	Descriptif
/usr/sbin/auditpr	Indique le chemin de la commande auditpr .
/etc/security/audit/config	Contient des informations de configuration du système d'audit.
/etc/security/audit/events	Ce fichier contient les événements d'audit du système.
/etc/security/audit/objects	Ce fichier contient des événements d'audit pour les objets audités (fichiers).
/etc/security/audit/bincmds	Ce fichier contient les commandes de back end auditbin .
/etc/security/audit/streamcmds	Ce fichier contient des commandes auditstream .
/etc/security/audit/hosts	Ce fichier contient les mappages entre l'ID UC et le nom d'hôte.