streamcmds 文件
用途
包含审计流命令。
描述
/etc/security/audit/streamcmds 文件是一个 ASCII 模板文件,其中包含初始化审计系统时调用的流方式命令。 此文件的路径名在 /etc/security/audit/config 文件的流节中定义。
此文件包含命令行,每个命令行都由一个或多个命令组成,输入和输出可通过管道连接或重定向。 虽然这些命令通常是审计系统命令 (奥迪特卡特, 奥迪特普尔和 Auditselect) 中的一个或多个命令,但这不是必需的。 但是,第一个命令应是 审计流 命令。
当审计系统初始化时, 审计开始 命令将运行每个命令。 未对命令中的 $trail 或 $bin 字符串执行路径名替换。
安全性
访问控制: 此文件应该向 root 用户和审计组的成员授予读 (r) 访问权,并仅向 root 用户授予写 (w) 访问权。
示例
- 要从审计设备读取所有记录,选择并格式化涉及失败事件的记录,并在行式打印机上打印这些记录,请在 /etc/security/audit/streamcmds 文件中包含以下内容:
/usr/sbin/auditstream | /usr/sbin/auditselect -e \ "result == FAIL" |/usr/sbin/auditpr -v > /dev/lpr0此命令对于创建系统安全违例的硬拷贝跟踪非常有用。
- 要读取审计设备中具有审计事件的所有记录,请执行以下操作:authentication类,格式化它们并在系统控制台上显示它们。 在 /etc/security/audit/streamcmds 文件中包含以下内容:
/usr/sbin/auditstream -c authentication | \ /usr/sbin/auditpr -t0 -v > /dev/console此命令允许及时审计用户认证事件。
文件
| 项 | 描述 |
|---|---|
| /etc/security/audit/streamcmds | 指定文件路径。 |
| /etc/security/audit/config | 包含审计系统配置信息。 |
| /etc/security/audit/events | 包含系统的审计事件。 |
| /etc/security/audit/objects | 包含被审计对象(文件)的审计事件。 |
| /etc/security/audit/bincmds | 包含 奥迪特宾 后端命令。 |