EN JA
AUDITREDUCE(1)
AUDITREDUCE(1) FreeBSD General Commands Manual AUDITREDUCE(1)

名称

auditreduce監査証跡ファイルからレコードを選択する

書式

auditreduce [ -A][ -a YYYYMMDD[ HH[ MM[ SS]]]][ -b YYYYMMDD[ HH[ MM[ SS]]]][ -c flags][ -d YYYYMMDD][ -e euid][ -f egid][ -g rgid][ -j id][ -m event][ -o object= value][ -r ruid][ -u auid][ -v][ file ...]

解説

auditreduce ユーティリティは指定された評価基準に基づく監査証跡 (audit trail) ファイルからレコードを選択します。適合している監査レコードは、それらの生のバイナリ形式で標準出力に印刷 (出力) されます。 file 引数が指定されないなら、標準入力がデフォルトで使用されます。選択された監査レコードを人間に解読可能な形式で印刷するためには、 praudit(1) ユーティリティを使用します。

オプションは、次の通りです:

-A
すべてのレコードを選択します。
-a YYYYMMDD[ HH[ MM[ SS]]]
与えられた日時の後かまたは与えられた日時に生じたレコードを選択します。
-b YYYYMMDD[ HH[ MM[ SS]]]
与えられた日時の前に生じたレコードを選択します。
-c flags
監査フラグのコンマで区切られたリストで指定された与えられた監査クラスに適合するレコードを選択します。監査フラグの記述については audit_control(5) を参照してください。
-d YYYYMMDD
与えられた日付に生じたレコードを選択します。このオプションは、 -a または -b とともに使用することはできません。
-e euid
与えられた実効ユーザ ID または名前で指定されたレコードを選択します。
-f egid
与えられた実効グループ ID または名前で指定されたレコードを選択します。
-g rgid
与えられた実グループ ID または名前で指定されたレコードを選択します。
-j id
適合する ID でサブジェクトのトークンがあるレコードを選択します、ここで、ID は、プロセス ID です。
-m event
与えられたイベント名か数値で指定されたレコードを選択します。複数のイベントタイプのレコードを選択するために 2 度以上このオプションを使用することできます。監査イベント名と数値の説明に関しては audit_event(5) を参照してください。
-o object= value
file
パス名が、与えられた記述に含まれるコンマで区切られた拡張正規表現の 1 つと適合するところの、パストークンを含むレコードを選択します。チルダ (‘ ~’) が前に付いた正規表現は、検索結果から除かれます。これらの拡張正規表現は、左から右に処理され、パスは、最初の適合に基づいて選択されるか、非選択されます。

コンマが正規表現を区切るために使用されるので、コンマが検索パターンの一部にあるなら、そのコンマをエスケープするためにバックスラッシュ (‘ \’) 文字を使用するべきです。

msgqid
与えられたメッセージキュー ID を含むレコードを選択します。
pid
与えられたプロセス ID を含むレコードを選択します。
semid
与えられたセマフォ ID を含むレコードを選択します。
shmid
与えられた共有メモリ ID を含むレコードを選択します。
-r ruid
与えられた実ユーザ ID または名前で指定されたレコードを選択します。
-u auid
与えられた監査 ID で指定されたレコードを選択します。
-v
マッチしていないレコードを選択するためにマッチの意味を逆にします。

使用例

監査ログ /var/audit/20031016184719.20031017122634 から実効ユーザ ID root に関連しているすべてのレコードを選択するには:

auditreduce -e root \ 
    /var/audit/20031016184719.20031017122634

そのログからすべての setlogin(2) イベントを選択するためには:

auditreduce -m AUE_SETLOGIN \ 
    /var/audit/20031016184719.20031017122634

上記のコマンドラインからの出力は、通常、新しい軌跡 (trail) ファイルにパイプされるか、または praudit(1) コマンドへの標準出力を通して行われます。

パス名が /etc/master.passwd を含むパストークンを含むすべてのレコードを選択します:

auditreduce -o file="/etc/master.passwd"\ 
    /var/audit/20031016184719.20031017122634

次は、パス名が TTY デバイスであるところの、パストークンを含むすべてのレコードを選択します:

auditreduce -o file="/dev/tty[a-zA-Z][0-9]+"\ 
    /var/audit/20031016184719.20031017122634

パス名が /dev/ttyp2 以外の TTY であるところの、パストークンを含むすべてのレコードを選択します:

auditreduce -o file="~/dev/ttyp2,/dev/tty[a-zA-Z][0-9]+"\ 
    /var/audit/20031016184719.20031017122634

歴史

OpenBSM 実装は、2004 年に Apple Computer Inc. との契約に基づき、 McAfee Inc. のセキュリティ部門、McAfee Research によって作成されました。その後にそれは、OpenBSM 配布のための基盤として TrustedBSD Project によって採用されました。

作者

このソフトウェアは、Apple Computer Inc. との契約に基づき、 McAfee Inc. のセキュリティ研究部門、McAfee Research によって作成されました。追加の作者として Wayne Salamon, Robert Watson と SPARTA Inc. が挙げられます。

レコードを監査し、イベントストリームフォーマットを監査する Basic Security Module (BSM) インタフェースは、Sun Microsystems によって定義されました。

January 24, 2004 FreeBSD