auditpr コマンド

目的

ビンまたはストリーム監査レコードをディスプレイ・デバイスまたはプリンターに合わせてフォーマットします。

構文

auditpr [-i inputfile ] [ -t 0 | 1 | 2 ] [ -m Message ] [ -r ] [ -v | -w] [ -X ][ -h field[,field]*]

説明

auditpr コマンドは、監査サブシステムの一部です。このコマンドは、監査レコードをビン・フォーマットまたはストリーム・フォーマットで標準入力から読み取り、フォーマットしたレコードを標準出力に送ります。

出力フォーマットは、どのフラグを選択するかによって決まります。 -m フラグを指定すると、個々の見出しの前にメッセージが表示されます。デフォルトのヘッダー・タイトルとフィールドを変更するには -t フラグおよび -h フラグを使い、監査証跡を追加するには -v フラグを使います。 auditpr コマンドは、ローカルの /etc/passwd ファイルを検索して、ユーザー ID とグループ ID を名前に変換します。

デフォルトのヘッダー情報を使った場合の出力の例を次に示します。

event   login   status   time                             command
        wpar name
login   dick     OK       Fri  Feb;8   14:03:57    1990   login
        グローバル
 . . . . . trail portion . . . . .

監査証跡の例については、監査証跡のフォーマットが定義されている /etc/security/audit/events ファイルを参照してください。

無効なレコードは、回避することが可能な場合は回避され、エラー・メッセージが発行されます。コマンドがエラーからリカバリーできない場合は、処理が停止します。

AIX_AUDITBUFSZ 環境変数は、auditpr 監査レコードのバッファー済み書き込み操作を可能にします。バッファー済み書き込みオプションは、多数の監査レコードを生成するハイパフォーマンス・アプリケーションに役立ちます。

AIX_AUDITBUFSZ 環境変数は、8192 バイトから 67 MB の範囲の 10 進数値および 16 進数値を受け入れます。許される値の範囲外にあるその他の正の値はいずれも、最も近い値に基づき、範囲の始めまたは範囲の終わりのどちらかに四捨五入されます。この変数値が設定されていないか、あるいはこの変数に負の値または非数値が割り当てられている場合、AIX_AUDITBUFSZ 変数は無視されます。

フラグ

項目	説明
-h field[,field]*	表示するフィールドと表示する順序を選択します。デフォルトでは e、l、R、t、および c です。以下の値を指定できます。 e 監査イベント。 l ユーザーのログイン名。 R 監査状況。 t レコードが書き込まれた時刻。 c コマンド名。 r 実ユーザー名。 p プロセス ID。 P 親プロセスの ID T カーネル・スレッド ID。これはこのプロセスのものです。別のプロセスには、同じスレッド ID が付いたスレッドを入れることができます。 h 監査レコードを生成したホスト名。監査レコードに CPU ID がない場合は、値 none が使用されます。監査レコードに CPU ID に一致するエントリーがない場合、代わりに CPU ID の 16 文字の値が使用されます。 i 監査プロセスのロール ID またはロール名。 E 有効な特権。 S 有効な機密ラベル (SL)。 I 有効な保全性ラベル (TL)。 W workload partition 名。
-iinputfile	監査証跡ファイルへのパスを示します。-i フラグを指定しない場合、 auditpr コマンドは stdin からデータを読み取ります。
-m "Message "	各見出しと共に表示する Message を指定します。 Message 文字列は二重引用符で囲む必要があります。
-r	ID からシンボル名への変換を抑制します。
-t {0 \| 1 \| 2}	ヘッダー・タイトルをいつ表示するかを指定します。デフォルトのタイトルは、オプションのメッセージ (-m フラグを参照) のあとに出力の各列の名前が付いています。 0 タイトルを無視します。 1 一連のレコードの先頭でタイトルを一度だけ表示します。 2 各レコードの前にタイトルを表示します。
-v	/etc/security/audit/events ファイル内に指定されたフォーマットを使って、各監査レコードの証跡を表示します。 -v フラグは、-w フラグと同時には使用できません。
-w	トレールおよび監査レコードを、/etc/security/audit/events ファイルに指定された形式を使用して 1 行で表示します。-w フラグは、-v フラグと同時には使用できません。
-X	-X フラグが、ユーザー名を表示する他のフラグと一緒に使用される場合、長いユーザー名を監査レコードの末尾に表示します。上限は、PdAt オブジェクト・クラスと CuAt オブジェクト・クラスの max_logname オブジェクト・データ・マネージャー (ODM) 属性によって決定されます。ユーザー名が max_logname 属性を超える場合は、max_logname 属性で指定されている文字数から 1 文字を引いた数に切り捨てられます。

セキュリティー

アクセス制御

このコマンドに対する実行 (x) アクセス権は、root ユーザーと監査グループのメンバーにのみ与えてください。コマンドは、setuid で root ユーザーに設定され、トラステッド・コンピューティング・ベース属性を持っていなければなりません。

アクセスするファイル

モード	ファイル
r	/etc/security/audit/events
r	/etc/passwd
r	/etc/group

RBAC ユーザーと Trusted AIX® ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。

例

デフォルトのヘッダー・タイトル、フィールド、および監査証跡を持つシステム監査証跡ファイルを読み取るには、次のように入力します。
/usr/sbin/auditpr -v < /audit/trail
/audit/trail ファイルには、有効な監査ビンまたはレコードが入っていなければなりません。
ユーザー witte が元になっているすべての監査イベントを監査証跡ファイルからフォーマットするには、次のように入力します。
/usr/sbin/auditselect -e"login == witte"¥ /audit/trail | auditpr -v
この結果生成されるレコードは、デフォルト値 ( e、c、l、R、および t) を使用してフォーマットされ、証跡が含まれています。
監査デバイスからレコードを対話式に読み取るには、次のように入力します。
```
/usr/sbin/auditstream | /usr/sbin/auditpr -t0 -heRl 
```
BIN モードで開始されたサブシステムの監査用に 520000 バイトのバッファー・サイズで監査レコードに対してバッファー済み書き込みオプションを使用可能にするには、次のコマンドを入力します。
```
export AIX_AUDITBUFSZ=520000
/usr/sbin/auditpr -v -i /audit/trail > output 
```

ファイル

項目	説明
/usr/sbin/auditpr	auditpr コマンドのパスを指定します。
/etc/security/audit/config	監査システム構成情報が入っています。
/etc/security/audit/events	システムの監査イベントが入っています。
/etc/security/audit/objects	監査対象オブジェクト (ファイル) の監査イベントが入っています。
/etc/security/audit/bincmds	auditbin バックエンド・コマンドが入っています。
/etc/security/audit/streamcmds	auditstream コマンドが入っています。
/etc/security/audit/hosts	ホスト名マッピング用の CPU ID が入っています。