Comando do Auditório
Propósito
Escreve bins de registros de auditoria.
Sintaxe
auditcat [ -p | -u ] [-s size] [-d pathname] [ -oOutFile ] [ -r ] [ InFile ]Descrição
O comando auditcat faz parte do subsistema de auditoria e é um dos vários comandos backend que processam os registros de dados de auditoria.
O comando auditcat lê arquivos bin de registros de auditoria a partir da entrada padrão ou do arquivo especificado pelo parâmetro InFile . O comando então processa os registros e grava sua saída na saída padrão ou no arquivo especificado pelo parâmetro 0utFile . A saída pode ser compactada ou não, dependendo da sinalização selecionada.
Um grande uso do comando é anexar arquivos bin compactados até o final do arquivo de trilha de auditoria do sistema.
Se o arquivo /etc/security/audit/bincmds incluir $bin como o arquivo de entrada, a entrada será proveniente do arquivo bin atual, bin1 ou bin2. Se o /etc/security/audit/bincmds incluir $trail como o arquivo de saída, os registros serão gravados no final do arquivo de trilha de auditoria do sistema
Se um arquivo bin não for devidamente formado com um cabeçalho e cauda válida, um erro será retornado. Consulte o comando auditpr para obter informações sobre cabeçalhos e caudas de auditoria e o comando auditbin para obter informações sobre a recuperação de erro
Se a opção -s for mencionada com um valor válido, ela terá o backup do arquivo de trilha e reduzirá seu tamanho para zero. Se o nome do caminho for fornecido, ele copiará o arquivo de backup nesse caminho. O nome do arquivo de backup está na trilha de formato a seguir. YYYYMMDDDThhmmss. < random number> Se o tamanho do sistema de arquivos /audit for menor que o espaço livre (/etc/security/audit/config configurado em) e -d especificar com o parâmetro de caminho válido, ele levará o backup do arquivo de trilha para esse caminho. Para ver a saída do arquivo de trilha diferente, utilize o comando auditmerge ..
Sinalizações
| Item | Descrição |
|---|---|
| -o OutFile | Especifica o arquivo de trilha de auditoria no qual o comando auditcat grava registros.. Se você especificar $trail como o arquivo para o parâmetro OutFile , o daemon auditbin substituirá o nome do arquivo de trilha de auditoria do sistema |
| -p | Especifica que os arquivos bin serão compactados (embalados) na saída. O valor padrão especifica que as bins não serão compactadas. |
| -r | Solicita procedimentos de recuperação. Os nomes de arquivos para os parâmetros InFile e OutFile devem ser especificados para que a recuperação ocorra, portanto, a sintaxe de comando deve ser auditcat -o OutFile -r InFile O comando verifica se o arquivo bin especificado para o parâmetro InFile está anexado e, se não estiver, anexa o arquivo bin ao arquivo especificado pelo parâmetro OutFile . Se o arquivo bin estiver incompleto, o comando auditcat incluirá uma cauda válida e, em seguida, anexará o arquivo bin ao arquivo especificado pelo parâmetro OutFile |
| -u | Especifica que os arquivos de rastros compactados sejam descompactados na saída. |
| -s tamanho | Especifica o limite no tamanho do arquivo de trilha após o qual o backup da trilha teve que ser feito Tamanho deve ser especificado em unidades de 512-byte blocos. Se o parâmetro de tamanho for -ve ou zero ou qualquer valor inválido, auditcat ignorará a sinalização e o valor. O valor máximo é 4194303 (aproximadamente 2 GB de espaço livre em disco). |
| -d nome do caminho | O nome do caminho deve ser um caminho de diretório completo válido, em que o backup do arquivo de trilha precisa ser feito No caso de o valor do nome do caminho ser inválido, auditcat ignora o sinalizador e o valor. |
Segurança
- Controle de acesso
Esse comando deve conceder acesso de execução (x) ao usuário raiz e aos membros do grupo de auditoria O comando deve ser setuid para o usuário root e ter o atributo base de computação confiável .
- usuários do RBAC
- Atenção usuários RBAC: Este comando pode executar operações privilegiadas. Somente usuários privilegiados podem executar essas operações. Para obter mais informações sobre autorizações e privilégios, consulte Banco de dados de comandos privilegiados em Segurança. Para obter uma lista de privilégios e autorizações associados a esse comando, consulte o comando ' lssecattr ou o subcomando ' getcmdattr.
Exemplos
Para configurar o sistema para anexar dados da categoria de auditoria ao arquivo de trilha de auditoria do sistema, inclua a linha a seguir no arquivo /etc/security/audit/bincmds :
/usr/sbin/auditcat -o $trail $binQuando o daemon auditbin chama o comando auditcat , o daemon substitui a sequência $bin pelo nome do caminho do arquivo bin atual e substitui a sequência $trail pelo nome do arquivo de trilha de auditoria padrão.
Arquivos
| Item | Descrição |
|---|---|
| /usr/sbin/auditcat | Especifica o caminho para o comando auditcat .. |
| /etc/security/audit/config | Contém informações de configuração do sistema de auditoria. |
| /etc/security/audit/events | Este arquivo contém eventos de auditoria do sistema. |
| /etc/security/audit/objects | Contém eventos de auditoria para objetos auditados (arquivos). |
| /etc/security/audit/bincmds | Contém comandos backend auditbin . |