audit 命令

用途

控制系统审计。

语法

audit { on [ panic | fullpath] | off | query | start | shutdown }{-@ wparname ...}

描述

audit命令通过几个选项来控制系统审计。每次输入命令时包含一个选项。 start选项和 "shutdown选项可启动或停止审计系统，并重置系统配置。 off选项和 "on选项可在不影响系统配置的情况下暂停和重启审计系统。通过 "query选项可以查询状态。

审计系统遵循以下配置文件中建立的指示信息:

/etc/security/audit/config
/etc/security/audit/events
/etc/security/audit/objects
/etc/security/audit/bincmds
/etc/security/audit/streamcmds

在 WPAR中运行 -@ 选项时，该选项不受支持。

选项

表 1. audit 命令选项
项	描述
start	启动审计子系统。该选项读取配置文件中的指令并执行以下任务： `role`审计审计系统中所有当前处于活动状态的角色（如果已在 /etc/security/audit/config 文件的角色节中配置这些角色）。 `object`审计将 "/etc/security/audit/objects文件中的审计事件定义写入内核，以定义对象审计事件。注: 当其中一个文件系统对象的父目录不存在时，标志将失败并发出 ENOENT 错误。 `event` 审计将 /etc/security/audit/config 文件中的审计类定义写入到内核中来定义审计类。 `bin` 审计如果启动节包含 `binmode=on` ，则根据 /etc/security/audit/config 文件 bin 节中的配置信息启动 auditbin 守护进程。 `stream` 审计如果起始节包含 `streammode=on` ，则启动 /etc/security/audit/config 文件中的流节所定义的审计流命令。注意：避免在启动时或从远程 shell (rsh) 调用流审计，直到标准输出（`stdout`）和标准错误（`stderr`）进程在调用时关闭，即运行以下命令时： `audit start 1>&- 2>&-`. `fullpath` 审计 `PROC_LPExecute` /etc/security/audit/config `fullpath=on`为 `FILE_Open`, `FILE_Openxat`, `FILE_Read`, `FILE_Write`, `FILE_Link`, `FILE_Linkat`, `FILE_Unlink`, `FILE_Unlinkat`, `FILE_Rename`, `FILE_Renameat`, `FILE_Owner`, `FILE_Mode`, `FILE_Fchmod`, `FILE_Fchmodat`, `FILE_Fchown`, `FILE_Fchownat`, `FILE_Truncate`, `FILE_Symlink`, `FILE_Symlinkat`, `FILE_Setea`, `FILE_Removeea`, `FILE_Utimes`, `FS_Chroot`, `FILE_Mknod`, `FILE_Mknodat`, `FILE_Acl`, `FILE_Facl`, `FILE_Chpriv`, `FILE_Fchpriv`, `FILE_WriteXacl`, `FILE_Revoke`, `FILE_Frevoke`, `PROC_Execute`, 和 `user` 审计审计登录到系统的所有用户 (如果在 /etc/security/audit/config 文件的 users 节中设置了这些用户)。 `audit` 记录启用 "/etc/security/audit/config文件起始节中定义的审计日志组件。 `audit` 范围写入内核 (如果在 /etc/security/audit/config 文件的 WPAR 审计范围 (WAR) 节中设置)。 `global-initiated` WPAR审计审计 WPAR (如果它们存储在 /etc/security/audit/config 文件的 WPARS 节中)。只能通过在命令中指定 -@ `wparname` 参数从全局 WPAR 使用审计。
shutdown	通过从内核表中删除类的定义，停止收集审计记录并重置配置信息。内核缓冲区中的所有审计记录都会刷新到 bin 文件或审计流中。这一过程是根据 binmode 审核 "/etc/security/audit/bincmds文件和 streammode 审核 "/etc/security/audit/streamcmds文件中的后端命令规范完成的。审计数据的收集停止，直到给出下一个 `audit start` 命令才重新开始。当使用 "-@ `wparname`参数和此选项时，指定WPAR 的审计将被禁用。
off	暂挂审计系统，但使配置保留有效。数据收集暂停，直到给出 `audit on` 命令才重新开始。该选项不支持 "-@选项。
on [panic \| fullpath]	如果系统正确配置（例如事先使用 `audit start` 命令且配置依旧有效），那么在暂挂后重新启动审计系统。如果在下达命令时启动了审计，则只能更改仓数据收集。该选项不支持 "-@选项。如果指定 panic 选项，那么假如启用二进制数据收集但它们不能写到二进制文件，那么系统将突然停止。在 WPAR中运行 panic 选项时，该选项不受支持。如果指定了 "fullpath选项，"`FILE_Open`、"`FILE_Read`和 "FILE_Write审计事件就会捕获文件的完整路径名。
query	查询审计子系统的审计状态。如果指定 "-@选项，该选项将查询全局启动的WPAR 的审计状态。该选项以下列格式显示审计子系统的状态： `auditing on {panic \| fullpath \| tcp_enable_all_kevents} \| auditing off bin manager off \| is process number pid audit events: audit class: audit event, audit event... audit objects: object name: object mode: audit event`

安全性

访问控制

该命令必须授予 root 用户和审计组成员执行 (x) 的权限。命令必须是根用户的 "setuid，并具有可信计算基础属性。

访问的文件

表 2。文件
方式	文件
`r`	/etc/security/audit/config
`r`	/etc/security/audit/objects
`x`	`/usr/sbin/auditbin`
`x`	`/usr/sbin/auditstream`

RBAC 用户

RBAC 用户注意: 此命令可以执行特权操作。只有特权用户才能执行特权限定的操作。有关授权和权限的更多信息，请参阅安全中的特权命令数据库。有关该命令的权限和授权列表，请参阅 "lssecattr命令或 "getcmdattr子命令。

示例

要启动审计程序，请按照 "在安全性中设置审计"中的说明配置审计系统，并在系统初始化文件（全局环境中的 "/etc/rc或WPAR 中的 "/etc/rc.bootc）中添加以下一行：
```
/usr/sbin/audit start 1>&- 2>&- 
```
每次系统初始化时，审计进程启动（如配置的那样）。
要从全局 WPAR启动名为 wpar1 的 WPAR 的审计进程，请输入以下命令:
```
/usr/sbin/audit start -@ wpar1
```
要停止审计程序的运行，请输入以下命令：
```
/usr/sbin/audit shutdown
```
数据收集将停止，直到再次指定 audit start 命令才重新开始。操作系统内核中的类的配置丢失。
注意："audit shutdown命令必须同时包含在 "/etc/shutdown文件中。
要从全局WPAR 停止名为 "wpar1的WPAR的审计进程，请输入以下命令：
```
/usr/sbin/audit shutdown -@ wpar1
```
数据收集将停止，直到再次指定 audit start -@ wpar1 命令才重新开始。操作系统内核中的类的配置丢失。

记住 audit shutdown命令不带任何选项，会关闭从全局 WPAR 启动的所有WPAR 的审计流程。
要暂挂审计子系统，请输入以下命令:
```
/usr/sbin/audit off
```
要重新启动被 "audit off命令暂停的审计程序，请输入以下命令：
```
/usr/sbin/audit on
```
如果系统配置正确，则暂停状态结束并重新生成审计记录。

要显示审计系统的状态，请输入以下命令:

/usr/sbin/audit query

以下是 "audit query状态信息的示例：

auditing on
 
bin manager is process number 123
 
audit events:
    authentication- USER_Login, USER_Logout
    administration- USER_Create, GROUP_Create
 
audit objects:
    /etc/security/passwd :
      r = AUTH_Read
    /etc/security/passwd : 
      w = AUTH_Write

此查询告诉您当指定的用户登录或注销时、当指定的管理员创建用户或组时，以及当系统接收到对 /etc/security/passwd 文件进行读写的授权的读写指令时，都将写下审计记录。

文件

表 3。文件
项	描述
/etc/security/audit/bincmds	包含处理审计二进制数据的 shell 命令。
/etc/security/audit/config	包含审计配置信息。
/etc/security/audit/events	列出审计事件和它们的尾部格式规范。
/etc/security/audit/objects	列出了每个文件（对象）的审计事件。
/etc/security/audit/streamcmds	包含审计流命令。
/etc/rc	包含系统初始化命令。
/usr/sbin/audit	包含 audit 命令的路径。