auditmerge 命令
用途
将多个审计跟踪文件并入单个跟踪文件。
语法
/usr/sbin/auditmerge [ -q ] 文件 [ 文件... ]
描述
auditmerge 命令将来自潜在的多个机器的多个审计跟踪文件并入单个审计跟踪文件。 对于有记录剩余的每个文件,具有最早时间戳记的记录添加到输出。 如果发现具有负时间更改的记录,可能发出可选的警告消息。 处理继续且任何这样的记录输出时不更改它们的时间值。
auditmerge 命令还能够将来自二进制报头的 CPU 标识值添加至每个输出记录。 在二进制报头和二进制文件的报尾对 CPU 标识值进行编码。
-q 标志用于控制输出警告消息。 当首次看到具有负时间更改的记录,那么输出单个警告消息。 该消息包含包括记录和时间差的文件的名称。 当在命令行输入 -q 标志时,将禁止这些消息。
标志
| 项 | 描述 |
|---|---|
| -q | 用于控制输出警告消息。 |
安全性
访问控制:此命令应向 root 用户和 audit 组的成员授予执行 (x) 访问权。 该命令应对 root 用户设置用户标识并具有可信计算库属性。
示例
- 要合并来自不同主机的两个现有审计跟踪文件,请输入:
/usr/bin/auditmerge /audit/trail.calvin /audit/trail.hobbes > /audit/trail.merge - 要合并为不同用户名预先选择的两个现有的数据文件,请输入:
/usr/bin/auditmerge /audit/trail.jim /audit/trail.julie > /audit/trail.both - 要在不产生有关不正确时间的警告的情况下合并两个数据文件,请输入:
/usr/bin/auditmerge -q /audit/jumbled.1 /audit/jumbled.2 > /audit/jumbled.output
文件
| 项 | 描述 |
|---|---|
| /etc/security/audit/hosts | 包含“CPU 标识到主机名”的映射。 |