← man/system_diagnostics
auditreduce — man auditreduce — 80×24
ugur@toprak:~/man/system_diagnostics$man auditreduce
Bölüm 1 Sistem Tanılama

auditreduce

denetim izi (audit trail) dosyalarından kayıtları seçer

Sözdizimi (Artık Kullanımdan Kaldırıldı)

auditreduce [-A] [-a YYYYMMDD[HH[MM[SS]]]] [-b YYYYMMDD[HH[MM[SS]]]] [-c flags] [-d YYYYMMDD] [-e euid] [-f egid] [-g rgid] [-j id] [-m event] [-o object=value] [-r ruid] [-U] [-u auid] [-v] [file ...]

Açıklama

auditreduce yardımcı programı, belirtilen ölçütlere göre denetim izi (audit trail) dosyalarından kayıtları seçer. Eşleşen denetim kayıtları, ham ikili (binary) biçimlerinde standart çıktıya yazdırılır. Herhangi bir dosya argümanı belirtilmezse, varsayılan olarak standart girdi kullanılır. Seçilen denetim kayıtlarını insan tarafından okunabilir biçimde yazdırmak için praudit(1) yardımcı programını kullanın.

Seçenekler aşağıdaki gibidir:

  • -A: Tüm kayıtları seçer.

-a YYYYMMDD[HH[MM[SS]]] Belirtilen tarih ve saatte veya sonrasında gerçekleşen kayıtları seçer.

-b YYYYMMDD[HH[MM[SS]]] Belirtilen tarih ve saatten önce gerçekleşen kayıtları seçer.

-c flags Virgülle ayrılmış denetim bayrakları listesi olarak belirtilen denetim sınıflarıyla eşleşen kayıtları seçer. Denetim bayraklarının açıklaması için audit_control(5) sayfasına bakın.

-d YYYYMMDD Belirtilen tarihte gerçekleşen kayıtları seçer. Bu seçenek -a veya -b ile birlikte kullanılamaz.

-e euid Belirtilen etkin kullanıcı kimliği (effective user ID - euid) veya adı ile eşleşen kayıtları seçer.

-f egid Belirtilen etkin grup kimliği (effective group ID - egid) veya adı ile eşleşen kayıtları seçer.

-g rgid Belirtilen gerçek grup kimliği (real group ID - rgid) veya adı ile eşleşen kayıtları seçer.

  • -j id: Eşleşen kimliğe sahip bir konu belirteci (subject token) içeren kayıtları seçer.

-m event Belirtilen olay adı veya numarasına sahip kayıtları seçer. Birden fazla olay türüne ait kayıtları seçmek için bu seçenek birden fazla kez kullanılabilir. Denetim olay adları ve numaralarının açıklaması için audit_event(5) sayfasına bakın.

-o object=value

file Belirtilen tanımlamadaki virgülle ayrılmış genişletilmiş düzenli ifadelerden (extended regular expression) biriyle eşleşen yol adlarına sahip yol belirteçleri (path token) içeren kayıtları seçer. Yaklaşık işareti (‘~’) ile başlayan düzenli ifadeler arama sonuçlarından hariç tutulur. Bu genişletilmiş düzenli ifadeler soldan sağa doğru işlenir ve bir yol, ilk eşleşmeye göre seçilir veya seçimi kaldırılır.

Düzenli ifadeleri ayırmak için virgül kullanıldığından, arama modelinin bir parçası olan virgüllerden kaçınmak için bir ters eğik çizgi (‘\’) karakteri kullanılmalıdır.

msgqid Belirtilen mesaj kuyruğu kimliğini (message queue ID) içeren kayıtları seçer.

pid Belirtilen süreç kimliğini (process ID) içeren kayıtları seçer.

semid Belirtilen semafor kimliğini (semaphore ID) içeren kayıtları seçer.

shmid Belirtilen paylaşılan bellek kimliğini (shared memory ID) içeren kayıtları seçer.

-r ruid Belirtilen gerçek kullanıcı kimliği (real user ID - ruid) veya adı ile eşleşen kayıtları seçer.

  • -U: Tamponsuz (unbuffered) çıktı kullanır. Girdi dosyası bir karakter aygıtı (örneğin /dev/auditpipe) olduğunda bu seçenek otomatik olarak ayarlanır ve kayıtların oluşturuldukları anda tam olarak işlenmesini sağlar.

-u auid Belirtilen denetim kimliğine (audit ID - auid) sahip kayıtları seçer.

  • -v: Eşleşme mantığını tersine çevirerek eşleşmeyen kayıtları seçer.

Örnekler

      /var/audit/20031016184719.20031017122634 denetim günlüğünden etkin kullanıcı kimliği root olan tüm kayıtları seçmek için:

	   auditreduce -e root \
	       /var/audit/20031016184719.20031017122634

      Bu günlükten tüm setlogin(2) olaylarını seçmek için:

	   auditreduce -m AUE_SETLOGIN \
	       /var/audit/20031016184719.20031017122634

      Yukarıdaki komut satırlarının çıktısı genellikle yeni bir iz (trail) dosyasına veya standart çıktı aracılığıyla praudit(1) komutuna yönlendirilir (pipe).

      Yol adının /etc/master.passwd içerdiği bir yol belirteci (path token) barındıran tüm kayıtları seçmek için:

	   auditreduce -o file="/etc/master.passwd" \
	       /var/audit/20031016184719.20031017122634

      Yol adının bir TTY aygıtı olduğu yol belirteçleri içeren tüm kayıtları seçmek için:

	   auditreduce -o file="/dev/tty[a-zA-Z][0-9]+" \
	       /var/audit/20031016184719.20031017122634

      /dev/ttyp2 hariç yol adının bir TTY aygıtı olduğu yol belirteçleri içeren tüm kayıtları seçmek için:

	   auditreduce -o file="~/dev/ttyp2,/dev/tty[a-zA-Z][0-9]+" \
	       /var/audit/20031016184719.20031017122634

Ayrıca Bakınız

praudit(1), audit_control(5), audit_event(5)

Tarihçe

OpenBSM uygulaması, 2004 yılında Apple Computer Inc. ile yapılan sözleşme kapsamında McAfee Inc.'in güvenlik bölümü olan McAfee Research tarafından geliştirilmiştir. Daha sonra OpenBSM dağıtımının temeli olarak TrustedBSD Project tarafından benimsenmiştir.

Yazarlar

Bu yazılım, Apple Computer Inc. ile yapılan sözleşme kapsamında McAfee, Inc.'in güvenlik araştırmaları bölümü olan McAfee Research tarafından geliştirilmiştir. Diğer yazarlar arasında Wayne Salamon, Robert Watson ve SPARTA Inc. yer almaktadır.

Denetim kayıtlarına yönelik Temel Güvenlik Modülü (Basic Security Module - BSM) arayüzü ve denetim olayı akış biçimi Sun Microsystems tarafından tanımlanmıştır.

macOS 26.4 24 Ocak 2004 macOS 26.4