'\" te
.\" Copyright (c) 2007, 2011, Oracle and/or its affiliates.All rights reserved.
.TH auditrecord 1M "2009 年 10 月 15 日" "SunOS 5.11" "系统管理命令"
.SH 名称
auditrecord \- 显示 Solaris 审计记录格式
.SH 用法概要
.LP
.nf
\fB/usr/sbin/auditrecord\fR [\fB-d\fR] [ [\fB-a\fR] | [\fB-e\fR \fIstring\fR] | [\fB-c\fR \fIclass\fR] |
      [\fB-i\fR \fIid\fR] | [\fB-p\fR \fIprogramname\fR] | [\fB-s\fR \fIsystemcall\fR] | [\fB-h\fR]]
.fi

.SH 描述
.sp
.LP
\fBauditrecord\fR 实用程序显示 \fBaudit_event\fR(4) 中定义的审计记录事件类型的事件 ID、审计类和选择掩码以及记录格式。可以使用 \fBauditrecord\fR 生成所有审计记录格式的列表，或者基于事件类、事件名称、生成程序名称、系统调用名称或事件 ID 选择审计记录格式。
.sp
.LP
有两种输出格式。缺省格式适用于在终端窗口中进行显示；可选的 HTML 格式适用于使用 Web 浏览器进行查看。
.sp
.LP
方括号 (\fB[ ]\fR) 中的标记是可选的，可能不会在每个记录中都提供。
.SH 选项
.sp
.LP
支持以下选项：
.sp
.ne 2
.mk
.na
\fB\fB-a\fR\fR
.ad
.sp .6
.RS 4n
列出所有审计记录。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-c\fR \fIclass\fR\fR
.ad
.sp .6
.RS 4n
列出 \fIclass\fR 选择的所有审计记录。\fIclass\fR 是 \fB/etc/security/audit_class\fR 文件中的双字符类代码之一。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-d\fR\fR
.ad
.sp .6
.RS 4n
调试模式。显示 \fBaudit_event\fR 中定义的审计记录数目、\fBaudit_class\fR 中定义的类数目、两个文件之间的任何不匹配项，以及用于定义相关事件的报告，这些事件不包含可供 \fBauditrecord\fR 使用的格式信息。 
.RE

.sp
.ne 2
.mk
.na
\fB\fB-e\fR \fIstring\fR\fR
.ad
.sp .6
.RS 4n
列出事件 ID 标签中包含字符串 \fIstring\fR 的所有审计记录。匹配项不区分大小写。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-h\fR\fR
.ad
.sp .6
.RS 4n
以 HTML 格式生成输出。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-i\fR \fIid\fR\fR
.ad
.sp .6
.RS 4n
列出包含数字事件 ID \fIid\fR 的审计记录。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-p\fR \fIprogramname\fR\fR
.ad
.sp .6
.RS 4n
列出程序 \fIprogramname\fR 生成的所有审计记录，例如，用户空间程序生成的审计记录。
.RE

.sp
.ne 2
.mk
.na
\fB\fB-s\fR \fIsystemcall\fR\fR
.ad
.sp .6
.RS 4n
列出系统调用 \fIsystemcall\fR 生成的所有审计记录，例如，某个系统调用生成的审计记录。 
.RE

.sp
.LP
\fB-p\fR 和 \fB-s\fR 选项是代表同一内容的不同名称，它们是互斥的。如果给定了 \fB-c\fR、\fB-e\fR、\fB-i\fR、\fB-p\fR 或 \fB-s\fR 中的任一个，将忽略 \fB-a\fR 选项。\fB-c\fR、\fB-e\fR、\fB-i\fR 以及 \fB-p\fR 或 \fB-s\fR 通过“与”逻辑关系组合在一起。
.SH 示例
.LP
\fB示例 1 \fR显示具有指定事件 ID 的审计记录
.sp
.LP
以下示例说明如何显示指定审计记录的内容。

.sp
.in +2
.nf
% auditrecord -i 6152
  terminal login
  program     /usr/sbin/login      see login(1)
              /usr/dt/bin/dtlogin  See dtlogin
  event ID    6152                 AUE_login
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return
.fi
.in -2
.sp

.LP
\fB示例 2 \fR显示事件 ID 标签中包含指定字符串的审计记录
.sp
.LP
以下示例说明如何显示事件 ID 标签中包含字符串 \fBlogin\fR 的审计记录的内容。

.sp
.in +2
.nf
# auditrecord -e login
terminal login
  program     /usr/sbin/login      see login(1)
              /usr/dt/bin/dtlogin  See dtlogin
  event ID    6152                 AUE_login
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

rlogin
  program     /usr/sbin/login      see login(1) - rlogin
  event ID    6155                 AUE_rlogin
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return
.fi
.in -2
.sp

.SH 退出状态
.sp
.ne 2
.mk
.na
\fB\fB0\fR\fR
.ad
.sp .6
.RS 4n
操作成功
.RE

.sp
.ne 2
.mk
.na
\fB\fB非零值\fR\fR
.ad
.sp .6
.RS 4n
错误
.RE

.SH 文件
.sp
.ne 2
.mk
.na
\fB\fB/etc/security/audit_class\fR\fR
.ad
.sp .6
.RS 4n
提供有效类以及关联审计掩码的列表。
.RE

.sp
.ne 2
.mk
.na
\fB\fB/etc/security/audit_event\fR\fR
.ad
.sp .6
.RS 4n
提供数字事件 ID、文本事件名称以及关联的系统调用或程序的名称。
.RE

.SH 属性
.sp
.LP
有关下列属性的说明，请参见 \fBattributes\fR(5)：
.sp

.sp
.TS
tab() box;
cw(2.75i) |cw(2.75i) 
lw(2.75i) |lw(2.75i) 
.
属性类型属性值
_
可用性system/core-os
_
CSIEnabled（已启用）
_
接口稳定性Uncommitted（未确定）
.TE

.SH 另请参见
.sp
.LP
\fBauditconfig\fR(1M)、\fBpraudit\fR(1M)、\fBaudit.log\fR(4)、\fBaudit_class\fR(4)、\fBaudit_event\fR(4)、\fBattributes\fR(5)
.sp
.LP
请参见\fI《Securing Systems and Attached Devices in Oracle Solaris 11.3》\fR中有关审计的部分。
.SH 诊断
.sp
.LP
如果无法读取其输入文件或写入其输出文件，\fBauditrecord\fR 将显示导致其失败的文件的名称，然后退出并返回一个非零值。
.sp
.LP
如果未提供任何选项、提供了无效选项，或者同时提供了 \fB-s\fR 和 \fB-p\fR，将显示一条错误消息，此时 \fBauditrecord\fR 将显示用法消息，然后退出并返回一个非零值。 
.SH 附注
.sp
.LP
此命令以前称为 \fBbsmrecord\fR。
.sp
.LP
如果已修改 \fB/etc/security/audit_event\fR 以添加用户定义的审计事件，\fBauditrecord\fR 会将记录格式显示为 \fBundefined\fR。
.sp
.LP
\fBauditrecord\fR 显示的审计记录是可以生成的记录的核心。还可能会提供各种审计策略和可选标记，例如以下所示各项。
.sp
.LP
下表列出了 \fBpraudit\fR(1M) 标记名称及其说明。
.sp
.ne 2
.mk
.na
\fB\fBgroup\fR\fR
.ad
.sp .6
.RS 4n
设置 \fBgroup\fR 审计策略时提供。
.RE

.sp
.ne 2
.mk
.na
\fB\fBsensitivity label\fR\fR
.ad
.sp .6
.RS 4n
在 Trusted Extensions 已启用且代表其关联主题或对象的标签时提供。\fBmandatory_label\fR 标记记录在显式包含标签的基本审计记录中。
.RE

.sp
.ne 2
.mk
.na
\fB\fBsequence\fR\fR
.ad
.sp .6
.RS 4n
设置 \fBseq\fR 审计策略时提供。
.RE

.sp
.ne 2
.mk
.na
\fB\fBtrailer\fR\fR
.ad
.sp .6
.RS 4n
设置 \fBtrail\fR 审计策略时提供。
.RE

.sp
.ne 2
.mk
.na
\fB\fBzone\fR\fR
.ad
.sp .6
.RS 4n
设置 \fBzonename\fR 审计策略时生成记录的区域的名称。\fBzonename\fR 标记记录在显式包含区域名称的基本审计记录中。
.RE