solaris审计

ruo

看看我配置的审计出了什么问题，，每次重启都会提示一下信息：
/etc/security/audit_warn: The audit daemon has experienced the following problem with loading or executing plugins:

/usr/lib/security/audit_binfile.so.1: retry
all partitions full

/etc/security/audit_warn: Hard limit exceeded on all filesystems. (count=1)
/etc/security/audit_warn: Soft limit exceeded on all filesystems.
#quota -v查看没有配置用户限制。
请智者解惑》实在找不到原因了。

ruo

是不是放审计记录的文件太小了

ruo

我挂载了另一个盘的一个分区，用作审计目录，就再没有提示错误了。。。。但是我的审计还是 还是没有生成审计记录啊。。。。

anfield

试过重起auditd或者pkill -HUP auditd了么？

ruo

我重新引导过系统，，，，查看二进制审计记录时出现以下内容 ，，，不知道为什么。。。。。我配置的是记录系统范围的所有有归属和无归属的登陆事件。。。。




bash-3.00# praudit /sdisk2/audit_log............
praudit: No code associated with token id 0
praudit: No code associated with token id 1
praudit: No code associated with token id -72
praudit: No code associated with token id 3
praudit: No code associated with token id 0
praudit: No code associated with token id 12
praudit: No code associated with token id 0
praudit: No code associated with token id 1
socket,0x0000,0x0000,0.0.2.0
exec_args,142894,,,,,,,,0,&20081014082739.not_terminated.Netral20,,,\001\270\005
,0,&20081014082740.not_terminated.Netral20,,,\001\270\004\001\210,&2008101408273
9.20081014082740.Netral20,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,bash-3.00#

ruo

bash-3.00# cd /sdisk2/audit_log

bash-3.00# ls

20081014082739.20081014082740.Netral20  20081016013020.20081016013021.Netral20
20081014082740.20081015012426.Netral20  20081016013021.20081016013144.Netral20
20081015012920.20081015012925.Netral20  20081016013712.20081016013713.Netral20
20081015012925.20081015032553.Netral20  20081016013713.20081016013818.Netral20
20081015032750.20081015032751.Netral20  20081016014304.20081016014305.Netral20
20081015032751.20081015033638.Netral20  20081016014305.20081016014900.Netral20
20081015033836.20081015033837.Netral20  20081016015055.20081016015056.Netral20
20081015033837.20081015034648.Netral20  20081016015056.20081016015420.Netral20
20081015034848.20081015034849.Netral20  20081016015628.20081016015629.Netral20
20081015034849.20081015091608.Netral20  20081016015629.20081016091012.Netral20
20081016011408.20081016011409.Netral20  20081017001841.20081017001842.Netral20
20081016011409.20081016012610.Netral20  20081017001842.not_terminated.Netral20


bash-3.00#praudit  20081017001842.not_terminated.Netral20

可以看到审计记录内容了，，但是怎么把所有审计合起来成一个文件，然后查找我要看的审计事件呢？？？？？？

ruo

#mkdir 123
#cd 123
#auditreduce -A -O all
#ls
-----*all
#du *
2        ----*all

auditreduce 命令没有合并所有的审计事件啊  生成的*all文件才那么小，，，怎么才能合并审计记录啊 我好查看我想要的审计事件啊。。。。

anfield

一秒钟生成一个audit文件阿？
去root的crontab看看，可以把生成新的audit文件的时间间隔拉长一些，例如10分钟，30分钟。这样就不需要手工合并了。

实在要手工合并的话，在audit日志的目录下：

# auditreduce -A * | praudit -ls > test.log

ruo

谢谢您 按照您的说法确实可以合并审计目录里的所有文件了。。。就是我还不知道如何从合并的审计文件中搜索审计事件。。
bash-3.00# auditreduce -c lo test.log1
auditreduce: test.log1 not an audit file :
  test.log1.
生成的文件能用more查看。。
要是想用auditreduce筛选，，怎么办呢...



从审计跟踪或指定的审计文件中选择所需的记录类型。



auditreduce -lowercase-option argument [optional-file]

argument
小写选项所需的特定参数。例如，-c 选项需要审计类的 argument，例如 ua。

-d
选择特定日期的所有事件。argument 的日期格式为 yyymmdd。其他日期选项 -b 和 -a 选择特定日期之前和之后的事件。

-u
选择属于特定用户的所有事件。argument 是用户名。另一个用户选项 -e 选择属于有效用户 ID 的所有事件。

-c
选择预选审计类中的所有事件。argument 是审计类名。

-m
选择特定审计事件的所有实例。argument 是审计事件。

optional-file
审计文件的名称。