使用审核来跟踪对文件的读写操作

核心提示： 要解释该输出文件是非常简单的，例如，使用审核来跟踪对文件的读写操作(4)，下面的一行内容：S_NOTAUTH_WRITE root OKThu May 24 14:07:13 2007 vi显示了在 5 月 24 日（星期四）的 14:07:13，由 root 用户对该文件执行了一次写入操

要解释该输出文件是非常简单的。例如，下面的一行内容：S_NOTAUTH_WRITE 　　root　　 OK　　　　　Thu May 24 14:07:13 2007 　　vi

显示了在 5 月 24 日（星期四）的 14:07:13，由 root 用户对该文件执行了一次写入操作。

采用 BIN 模式的数据收集

如果在 BIN 模式中启用了数据收集，那么您可以通过执行下面的命令来启动数据收集：

# /usr/sbin/auditpr -v < /audit/trail > /audit.out

这个命令会将审核结果写入到 /audit.out 文件中，同样可以对该文件进行实时监视。

典型的输出应该与下面的清单 2 所示类似。

清单 2. 输出文件——采用 BIN 模式的数据收集

# vi /audit.out
"/audit.out" 30 lines, 2012 characters
event　　　　　 login　　status　　　　time　　　　　　　　　　　　command
--------　　　 -------- -----------　 -------------　　　　　　　--------------
S_NOTAUTH_READ　 root　　　OK　　　　　Thu May 24 15:07:27 2007　 cat
　　　　<tail format undefined>
S_NOTAUTH_READ　 root　　　OK　　　　　Thu May 24 15:07:27 2007　 cat
　　　　<tail format undefined>
FILE_Unlink　　　root　　　OK　　　　　Thu May 24 15:07:32 2007　　vi
　　　　filename /var/tmp/Ex21778
S_NOTAUTH_READ　root　　　OK　　　　　Thu May 24 15:07:32 2007　　　　vi
　　　　<tail format undefined>
S_NOTAUTH_READ　 root　　 OK　　　　　Thu May 24 15:07:32 2007　　　　vi
　　　　<tail format undefined>
S_NOTAUTH_READ　root　　 OK　　　　　 Thu May 24 15:07:32 2007　　 vi
　　　　<tail format undefined>
S_NOTAUTH_WRITE root　　 OK　　　　　 Thu May 24 15:07:37 2007　　 vi
　　　　<ail format undefined>
FILE_Unlink　　 root　　 OK　　　　　 Thu May 24 15:07:37 2007　　　　vi

您可以监视这些输出文件，以便跟踪对您的文件所进行的读写操作。