AUDITREDUCE(1) | FreeBSD General Commands Manual | AUDITREDUCE(1) |
名称
auditreduce — 監査証跡ファイルからレコードを選択する書式
auditreduce | [ -A][ -a YYYYMMDD[ HH[ MM[ SS]]]][ -b YYYYMMDD[ HH[ MM[ SS]]]][ -c flags][ -d YYYYMMDD][ -e euid][ -f egid][ -g rgid][ -j id][ -m event][ -o object= value][ -r ruid][ -u auid][ -v][ file ...] |
解説
auditreduce ユーティリティは指定された評価基準に基づく監査証跡 (audit trail) ファイルからレコードを選択します。適合している監査レコードは、それらの生のバイナリ形式で標準出力に印刷 (出力) されます。 file 引数が指定されないなら、標準入力がデフォルトで使用されます。選択された監査レコードを人間に解読可能な形式で印刷するためには、 praudit(1) ユーティリティを使用します。オプションは、次の通りです:
- -A
- すべてのレコードを選択します。
- -a YYYYMMDD[ HH[ MM[ SS]]]
- 与えられた日時の後かまたは与えられた日時に生じたレコードを選択します。
- -b YYYYMMDD[ HH[ MM[ SS]]]
- 与えられた日時の前に生じたレコードを選択します。
- -c flags
- 監査フラグのコンマで区切られたリストで指定された与えられた監査クラスに適合するレコードを選択します。監査フラグの記述については audit_control(5) を参照してください。
- -d YYYYMMDD
- 与えられた日付に生じたレコードを選択します。このオプションは、 -a または -b とともに使用することはできません。
- -e euid
- 与えられた実効ユーザ ID または名前で指定されたレコードを選択します。
- -f egid
- 与えられた実効グループ ID または名前で指定されたレコードを選択します。
- -g rgid
- 与えられた実グループ ID または名前で指定されたレコードを選択します。
- -j id
- 適合する ID でサブジェクトのトークンがあるレコードを選択します、ここで、ID は、プロセス ID です。
- -m event
- 与えられたイベント名か数値で指定されたレコードを選択します。複数のイベントタイプのレコードを選択するために 2 度以上このオプションを使用することできます。監査イベント名と数値の説明に関しては audit_event(5) を参照してください。
- -o object= value
-
- file
-
パス名が、与えられた記述に含まれるコンマで区切られた拡張正規表現の 1 つと適合するところの、パストークンを含むレコードを選択します。チルダ (‘
~
’) が前に付いた正規表現は、検索結果から除かれます。これらの拡張正規表現は、左から右に処理され、パスは、最初の適合に基づいて選択されるか、非選択されます。コンマが正規表現を区切るために使用されるので、コンマが検索パターンの一部にあるなら、そのコンマをエスケープするためにバックスラッシュ (‘
\
’) 文字を使用するべきです。 - msgqid
- 与えられたメッセージキュー ID を含むレコードを選択します。
- pid
- 与えられたプロセス ID を含むレコードを選択します。
- semid
- 与えられたセマフォ ID を含むレコードを選択します。
- shmid
- 与えられた共有メモリ ID を含むレコードを選択します。
- -r ruid
- 与えられた実ユーザ ID または名前で指定されたレコードを選択します。
- -u auid
- 与えられた監査 ID で指定されたレコードを選択します。
- -v
- マッチしていないレコードを選択するためにマッチの意味を逆にします。
使用例
監査ログ /var/audit/20031016184719.20031017122634 から実効ユーザ ID root に関連しているすべてのレコードを選択するには:
auditreduce -e root \ /var/audit/20031016184719.20031017122634
そのログからすべての setlogin(2) イベントを選択するためには:
auditreduce -m AUE_SETLOGIN \ /var/audit/20031016184719.20031017122634
上記のコマンドラインからの出力は、通常、新しい軌跡 (trail) ファイルにパイプされるか、または praudit(1) コマンドへの標準出力を通して行われます。
パス名が /etc/master.passwd を含むパストークンを含むすべてのレコードを選択します:
auditreduce -o file="/etc/master.passwd"\ /var/audit/20031016184719.20031017122634
次は、パス名が TTY デバイスであるところの、パストークンを含むすべてのレコードを選択します:
auditreduce -o file="/dev/tty[a-zA-Z][0-9]+"\ /var/audit/20031016184719.20031017122634
パス名が /dev/ttyp2 以外の TTY であるところの、パストークンを含むすべてのレコードを選択します:
auditreduce -o file="~/dev/ttyp2,/dev/tty[a-zA-Z][0-9]+"\ /var/audit/20031016184719.20031017122634
歴史
OpenBSM 実装は、2004 年に Apple Computer Inc. との契約に基づき、 McAfee Inc. のセキュリティ部門、McAfee Research によって作成されました。その後にそれは、OpenBSM 配布のための基盤として TrustedBSD Project によって採用されました。作者
このソフトウェアは、Apple Computer Inc. との契約に基づき、 McAfee Inc. のセキュリティ研究部門、McAfee Research によって作成されました。追加の作者として , と SPARTA Inc. が挙げられます。レコードを監査し、イベントストリームフォーマットを監査する Basic Security Module (BSM) インタフェースは、Sun Microsystems によって定義されました。
January 24, 2004 | FreeBSD |