auditpr コマンド
目的
ビンまたはストリーム監査レコードをディスプレイ・デバイスまたはプリンターに合わせてフォーマットします。
構文
auditpr [-i inputfile ] [ -t 0 | 1 | 2 ] [ -m Message ] [ -r ] [ -v | -w] [ -X ][ -h field[,field]*]
説明
auditpr コマンドは、監査サブシステムの一部です。 このコマンドは、監査レコードをビン・フォーマットまたはストリーム・フォーマットで標準入力から読み取り、フォーマットしたレコードを標準出力に送ります。
出力フォーマットは、どのフラグを選択するかによって決まります。 -m フラグを指定すると、個々の見出しの前にメッセージが表示されます。 デフォルトのヘッダー・タイトルとフィールドを変更するには -t フラグおよび -h フラグを使い、監査証跡を追加するには -v フラグを使います。 auditpr コマンドは、ローカルの /etc/passwd ファイルを検索して、ユーザー ID とグループ ID を名前に変換します。
デフォルトのヘッダー情報を使った場合の出力の例を次に示します。
event login status time command
wpar name
login dick OK Fri Feb;8 14:03:57 1990 login
グローバル
. . . . . trail portion . . . . .
監査証跡の例については、監査証跡のフォーマットが定義されている /etc/security/audit/events ファイルを参照してください。
無効なレコードは、回避することが可能な場合は回避され、エラー・メッセージが発行されます。 コマンドがエラーからリカバリーできない場合は、処理が停止します。
AIX_AUDITBUFSZ 環境変数は、auditpr 監査レコードのバッファー済み書き込み操作を可能にします。バッファー済み書き込みオプションは、多数の監査レコードを生成するハイパフォーマンス・アプリケーションに役立ちます。
AIX_AUDITBUFSZ 環境変数は、8192 バイトから 67 MB の範囲の 10 進数値および 16 進数値を受け入れます。許される値の範囲外にあるその他の正の値はいずれも、最も近い値に基づき、範囲の始めまたは範囲の終わりのどちらかに四捨五入されます。この変数値が設定されていないか、あるいはこの変数に負の値または非数値が割り当てられている場合、AIX_AUDITBUFSZ 変数は無視されます。
フラグ
項目 | 説明 |
---|---|
-h field[,field]* | 表示するフィールドと表示する順序を選択します。デフォルトでは e、l、R、t、および c です。以下の値を指定できます。
|
-iinputfile | 監査証跡ファイルへのパスを示します。-i フラグを指定しない場合、 auditpr コマンドは stdin からデータを読み取ります。 |
-m "Message " | 各見出しと共に表示する Message を指定します。 Message 文字列は二重引用符で囲む必要があります。 |
-r | ID からシンボル名への変換を抑制します。 |
-t {0 | 1 | 2} | ヘッダー・タイトルをいつ表示するかを指定します。
デフォルトのタイトルは、オプションのメッセージ (-m フラグを参照) のあとに出力の各列の名前が付いています。
|
-v | /etc/security/audit/events ファイル内に指定されたフォーマットを使って、各監査レコードの証跡を表示します。 -v フラグは、-w フラグと同時には使用できません。 |
-w | トレールおよび監査レコードを、/etc/security/audit/events ファイルに指定された形式を使用して 1 行で表示します。-w フラグは、-v フラグと同時には使用できません。 |
-X | -X フラグが、ユーザー名を表示する他のフラグと一緒に使用される場合、長いユーザー名を監査レコードの末尾に表示します。 上限は、PdAt オブジェクト・クラスと CuAt オブジェクト・クラスの max_logname オブジェクト・データ・マネージャー (ODM) 属性によって決定されます。 ユーザー名が max_logname 属性を超える場合は、max_logname 属性で指定されている文字数から 1 文字を引いた数に切り捨てられます。 |
セキュリティー
アクセス制御
このコマンドに対する実行 (x) アクセス権は、root ユーザーと監査グループのメンバーにのみ与えてください。 コマンドは、setuid で root ユーザーに設定され、トラステッド・コンピューティング・ベース属性を持っていなければなりません。
アクセスするファイル
モード | ファイル |
---|---|
r | /etc/security/audit/events |
r | /etc/passwd |
r | /etc/group |
RBAC ユーザーと Trusted AIX® ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。
例
- デフォルトのヘッダー・タイトル、フィールド、および監査証跡を持つシステム監査証跡ファイルを読み取るには、次のように入力します。/usr/sbin/auditpr -v < /audit/trail/audit/trail ファイルには、有効な監査ビンまたはレコードが入っていなければなりません。
- ユーザー witte が元になっているすべての監査イベントを監査証跡ファイルからフォーマットするには、次のように入力します。/usr/sbin/auditselect -e"login == witte"¥この結果生成されるレコードは、デフォルト値 ( e、c、l、R、 および t) を使用してフォーマットされ、証跡が含まれています。
/audit/trail | auditpr -v - 監査デバイスからレコードを対話式に読み取るには、次のように入力します。
/usr/sbin/auditstream | /usr/sbin/auditpr -t0 -heRl
- BIN モードで開始されたサブシステムの監査用に 520000 バイトのバッファー・サイズで監査レコードに対してバッファー済み書き込みオプションを使用可能にするには、次のコマンドを入力します。
export AIX_AUDITBUFSZ=520000 /usr/sbin/auditpr -v -i /audit/trail > output
ファイル
項目 | 説明 |
---|---|
/usr/sbin/auditpr | auditpr コマンドのパスを指定します。 |
/etc/security/audit/config | 監査システム構成情報が入っています。 |
/etc/security/audit/events | システムの監査イベントが入っています。 |
/etc/security/audit/objects | 監査対象オブジェクト (ファイル) の監査イベントが入っています。 |
/etc/security/audit/bincmds | auditbin バックエンド・コマンドが入っています。 |
/etc/security/audit/streamcmds | auditstream コマンドが入っています。 |
/etc/security/audit/hosts | ホスト名マッピング用の CPU ID が入っています。 |