auditpr 命令

用途

格式化显示设备或打印机的二进制或流审计记录。

语法

auditpr [-i inputfile ] [ -t  0 | 1 | 2 ] [ -m Message ] [ -r ] [ -v | -w] [ -X][ -h field[,field]*]

描述

auditpr 命令是审计子系统的一部分。此命令从标准输入读取二进制或流格式的审计记录，并将格式化后的记录发送到标准输出。

输出格式由所选的标志确定。如果指定 -m 标志，那么在每个报头前显示一条消息。请使用 -t 和 -h 标志来更改缺省报头标题和字段，并使用 -v 标志来附加审计跟踪。 auditpr 命令搜索本地 /etc/passwd 文件以将用户和组标识转换为名称。

下面是使用缺省头信息的输出示例:

event   login   status   time                             command
        wpar name
login   dick     OK       Fri  Feb;8   14:03:57    1990   login
        Global
 . . . . . trail portion . . . . .

有关审计跟踪的示例，请参阅定义了审计跟踪格式的 /etc/security/audit/events 文件。

可能的话，跳过无效记录并发出错误消息。如果命令不能从错误恢复，那么处理停止。

AIX_AUDITBUFSZ 环境变量允许对 auditpr 审计记录执行缓冲的写入操作。缓冲的写入操作对于将生成许多审计记录的高性能应用程序很有用。

AIX_AUDITBUFSZ 环境变量接受十进制值和十六进制值，其范围为 8192 个字节到 67 MB。超出允许值范围的任何其他正数值都将根据最接近的值来舍入为该范围的开始值或者该范围的结束值。如果未设置此变量值，或者为此变量指定了负值或非数字值，那么会忽略 AIX_AUDITBUFSZ 变量。

标志

表 1. 标志
项	描述
-h `字段`[`,字段]*`	选择要显示的字段以及显示这些字段的顺序，缺省情况下为 `e`， `l, R`，`t`和 `c`。您可以指定以下值： `E` 审计事件。 `l` 用户的登录名。 `R` 审计状态。 `t` 写记录的时间。 `c` 命令名。 `r` 实际用户名。 `p` 进程标识。 `P` 父进程的标识。 `T` 内核线程标识。这是进程的本地进程; 不同的进程可以包含具有相同线程标识的线程。 `h` 生成审计记录的主机的名称。如果审计记录中没有 CPU 标识，那么使用值 `none`。如果在审计记录中没有与 CPU 标识相匹配的条目，那么使用 CPU 标识的 16 位字符值。 `i` 审计进程的标识或角色名称。 `E` 有效特权。 `S` 有效灵敏度标签（SL）。 `I` 有效完整性标签（TL）。 `W` 工作负载分区名称。
-i`InputFile`	指示审计跟踪文件的路径。如果未指定 -i 标志，那么 auditpr 命令将从 `stdin` 读取数据。
-m `"消息``"`	指定要和每个报头一起显示的 `Message`。将 `Message` 字符串括在双引号中。
-r	禁止标识转化为符号名称。
-t `{0 \| 1 \| 2}`	指定显示报头标题的时间。缺省标题由一条可选消息 (请参阅命令标志) 组成，后跟输出的每一列的名称。 0 忽略任何标题。 1 在一系列记录的开头显示一次标题。 2 在每个记录前显示标题。
-v	使用 /etc/security/audit/events 文件中的格式规范显示每个审计记录的跟踪。 -v 标志与 -w 标志互斥。
-w	通过使用 /etc/security/audit/events 文件中指定的格式，将跟踪和审计记录显示为单行。 -w 标志与 -v 标志互斥。
-X	当 -X 标志与用于显示用户名的其他标志一起使用时，将打印审计记录末尾处的长用户名。最大限制由 `PdAt` 和 `CuAt` 对象类中的 `max_logname` 对象数据管理器 (ODM) 属性确定。如果用户名大于 `max_logname` 属性，那么会将其截断为字符数减去 `max_logname` 属性指定的 1 字符。

安全性

访问控制

此命令必须向 root 用户和审计组的成员授予执行 (x) 访问权。对于 root 用户命令是 setuid，并且有可信计算库属性。

访问的文件

表 2。访问的文件
方式	文件
R	/etc/security/audit/events
R	/etc/passwd
R	/etc/group

RBAC 用户

RBAC 用户注意: 此命令可以执行特权操作。只有特权用户才能执行特权限定的操作。有关授权和权限的更多信息，请参阅安全中的特权命令数据库。有关该命令的权限和授权列表，请参阅 "lssecattr命令或 "getcmdattr子命令。

示例

要读取具有缺省报头标题和字段以及审计跟踪的系统审计跟踪文件，请输入：
```
/usr/sbin/auditpr -v < /audit/trail 
```
. /audit/trail 文件必须包含有效的审计分箱或记录。
要从一个审计跟踪文件格式化 witte 用户导致的所有审计事件，请输入：
```
/usr/sbin/auditselect -e"login == witte"\
/audit/trail | auditpr  -v
```
生成的记录使用缺省值 (e, c, l, R, and t) 进行格式化，并包含跟踪。
要从审计设备交互地读取记录，请输入：
```
/usr/sbin/auditstream | /usr/sbin/auditpr -t0 -heRl 
```
要对以 bin 方式启动的审计子系统的缓冲区大小为 520000 字节的审计记录启用缓冲的写入选项，请输入以下命令：
```
export AIX_AUDITBUFSZ=520000
/usr/sbin/auditpr -v -i /audit/trail > output 
```

文件

表 3。文件
项	描述
/usr/sbin/auditpr	指定 auditpr 命令的路径。
/etc/security/audit/config	包含审计系统配置信息。
/etc/security/audit/events	此文件包含系统的审计事件。
/etc/security/audit/objects	此文件包含已审计对象 (文件) 的审计事件。
/etc/security/audit/bincmds	此文件包含 auditbin 后端命令。
/etc/security/audit/streamcmds	此文件包含 auditstream 命令。
/etc/security/audit/hosts	此文件包含 CPU 标识到主机名的映射。