auditcat コマンド
目的
監査レコードのビンを書き込みます。
構文
auditcat [ -p | -u ] [-s <size>] [-d <pathname>] [ -oOutFile ] [ -r ] [ InFile ]
説明
auditcat コマンドは、監査サブシステムの一部であり、監査データ・レコードを処理する幾つかのバックエンド・コマンドの 1 つです。
auditcat コマンドは、標準入力かまたは InFile パラメーターに指定されているファイルから、監査レコードのビン・ファイルを読み取ります。 次に、このコマンドは、レコードを処理し、標準出力かまたは 0utFile パラメーターに指定されているファイルに、出力を書き込みます。 出力は、選択したフラグに応じて、圧縮することもしないこともできます。
このコマンドの主な用途の 1 つは、圧縮されたビン・ファイルをシステム監査証跡ファイルの終わりに追加することです。
/etc/security/audit/bincmds ファイルに入力ファイルとして $bin が含まれている場合は、入力は現行ビン・ファイル bin1 または bin2 からとられます。 /etc/security/audit/bincmds ファイルに出力ファイルとして $trail が含まれている場合は、レコードはシステム監査証跡ファイルの終わりに書き込まれます。
ビン・ファイルが有効なヘッダーとテールを使って適切に作成されていないと、エラーが戻されます。 監査ヘッダーとテールについては auditpr コマンドを、エラー・リカバリーについては auditbin コマンドを参照してください。
-s オプションが有効な値とともに指定されると、トレール・ファイルのバックアップ・コピーが取られ、サイズがゼロに縮小されます。パス名が提供されている場合は、そのパス内のバックアップ・ファイルをコピーします。バックアップ・ファイル名は、次のフォーマットになります。trail.YYYYMMDDThhmmss.<random number> /audit ファイルシステムのサイズが、(/etc/security/audit/config に設定されている) フリー・スペースよりも小さく、-d に有効なパス・パラメーターが指定されている場合、そのパスにトレール・ファイルのバックアップを取ります。異なるトレール・ファイルの出力を表示するには、auditmerge コマンドを使用します。
フラグ
項目 | 説明 |
---|---|
-o OutFile | auditcat コマンドがレコードを書き込む監査証跡ファイルを指定します。 OutFile パラメーターに、このファイルとして $trail を指定すると、auditbin デーモンは、それをシステム監査証跡ファイルの名前に置き換えます。 |
-p | 出力時にビン・ファイルを圧縮 (パック) することを指定します。 デフォルト値は、ビンを圧縮しないことを指定します。 |
-r | リカバリー手順を要求します。 リカバリーが行われるようにするには、InFile および OutFile パラメーターの両方にファイル名を指定する必要があります。したがって、コマンドの構文は auditcat -o OutFile -r InFile とならなければなりません。コマンドは、InFile パラメーターに指定されているビン・ファイルが追加されているかどうかを確認し、追加されていなければ、OutFile パラメーターに指定されているファイルにビン・ファイルを追加します。 ビン・ファイルが不完全である場合は、auditcat コマンドは、有効な証跡を追加し、OutFile パラメーターに指定されているファイルにビン・ファイルを追加します。 |
-u | 圧縮された証跡ファイルを出力時に圧縮解除することを指定します。 |
-s size | トレール・ファイルのサイズの制限を指定します。その後、トレールのバックアップを取る必要があります。サイズは、512 バイトのブロック単位で指定する必要があります。size パラメーターが -ve かゼロ、または無効な値の場合、auditcat はフラグと値を無視します。指定可能な最大値は、4194303 (約 2GB のフリー・ディスク・スペース) です。 |
-d pathname | pathname は、有効な絶対ディレクトリー・パスでなければなりません。ここにトレール・ファイルのバックアップを取る必要があります。pathname が無効な場合、auditcat はフラグと値を無視します。 |
セキュリティー
アクセス制御
このコマンドに対する実行 (x) アクセス権は、root ユーザーと監査グループのメンバーにのみ与えてください。 コマンドは、setuid で root ユーザーに設定され、trusted computing base 属性を持っていなければなりません。
RBAC ユーザーと Trusted AIX® ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。
例
監査ビン・データをシステム監査証跡ファイルに追加するようにシステムを構成するには、/etc/security/audit/bincmds ファイルに下記の行を追加します。
auditbin デーモンは、auditcat コマンドを呼び出すときに、$bin 文字列を現行ビン・ファイルのパス名に置き換え、$trail 文字列をデフォルトの監査証跡ファイルの名前に置き換えます。
ファイル
項目 | 説明 |
---|---|
/usr/sbin/auditcat | auditcat コマンドへのパスを指定します。 |
/etc/security/audit/config | 監査システム構成情報が入っています。 |
/etc/security/audit/events | システムの監査イベントが入っています。 |
/etc/security/audit/objects | 監査対象オブジェクト (ファイル) の監査イベントが入っています。 |
/etc/security/audit/bincmds | auditbin バックエンド・コマンドが入っています。 |