DOC HOME SITE MAP MAN PAGES GNU INFO SEARCH PRINT BOOK
 
Anzeigen von Informationen aus dem Ereignisprotokoll

Die Ausgabe des Befehls ``auditrpt''

Die Ausgabe des Befehls auditrpt besteht aus drei Abschnitten: Der erste Abschnitt ist die vom Verwalter eingegebene Befehlszeile. Die beiden anderen Abschnitte werden für jedes verarbeitete Ereignisprotokoll wiederholt. Der zweite Abschnitte enthält Informationen über die Protokolldatei und zur Systemidentifizierung: die interne Kennung der Protokolldatei, die Revisionsversion, die die Protokolldatei erstellt hat und die Kennung des Rechners, auf dem die Protokolldatei erstellt wurde. Der dritte Abschnitt enthält die Revisionsdatensätze, die die in der Befehlszeile angegebenen Revisionskriterien erfüllen. Auf jeder Zeile wird ein Datensatz angezeigt, der aus einer Reihe von durch Kommas getrennten Feldern besteht. Ein Datensatz hat folgendes Format:

Zeit,Ereignis,PID(LWP_ID),Ergebnis,Benutzer,Gruppe(n),Sitzung,Subj_ebe, \
(Obj_ID:Obj_Typ:Obj_ebe:Gerät:Haupt:Neben:I-Node:DS_ID)(. . .)[,pgm_prm]

Erläuterung der Felder:


Zeit
Die Zeit des Ereignisses. Das Format ist stunde:minute:sekunde:tag:monat:jahr.

Ereignis
Der Ereignistyp. Unter ``Übersicht über protokollierbare Ereignisse und Ereignisklassen'' finden Sie eine vollständige Ereignisliste.

PID
Die Prozess-ID mit vorgestelltem P.

LWP_ID
Die Kennung des Lightweight-Prozesses, der das Ereignis ausgelöst hat.

Ergebnis
Das Ergebnis des Ereignisses: s für Erfolg bzw. f(Beendungscode) für Fehler.

Benutzer
Der echte und effektive Benutzername, durch Doppelpunkt getrennt (Beispiel: echter_Benutzername:effektiver_Benutzername).

Gruppe
Die realen und effektiven Gruppen, durch Doppelpunkt voneinander getrennt und ggf. gefolgt von einer Liste weitere Gruppen (Beispiel: reale_Grp:effektive_Grp:weit_Grp1:weit_Grp2...).

Sitzung
Die numerische Sitzungs-ID mit vorangestelltem S.

Subj_ebe
Wird zur Zeit nicht verwendet.

(Obj_ID:Obj_Typ:Obj_ebe:Gerät:Haupt:Neben:I-Node:DS-ID)
Dieses Feld enthält Objektkennungen in Klammern. Wird in einem Ereignis auf mehrere Objekte zugegriffen, wird dieses Feld wiederholt. Das Feld enthält folgende Unterfelder:

Obj_ID
Die Objektkennung.

Obj_Typ
Der Objekttyp: f (reguläre Datei), c (zeichenorientierte Spezialdatei), b (blockorientierte Spezialdatei), l (Verknüpfung), d (Verzeichnung), p (benannte oder unbenannte Pipe), s (Semaphor), h (gemeinsam genutzter Speicher) oder m (Meldungen).

Obj_ebe
Wird zur Zeit nicht verwendet.

Gerät
Die Gerätenummer des Objekts.

Haupt
Die Hauptgerätenummer des Objekts.

Neben
Die Gerätenebennummer des Objekts.

I-Node
Die I-Node-Nummer des Objekts.

DS-ID
Die Dateisystemkennung des Objekts.

pgm_prm
Dieses Feld ist für jedes Ereignis spezifisch und kann aus mehreren Unterfeldern bestehen. Auf der Manual-Seite des Befehls auditrpt(1M) finden Sie weitere Informationen zum pgm_prm-Feld für jedes Objekt.
Kommas in der Anzeige eines Revisionsdatensatzes dienen entweder zum Trennen der einzelnen Felder oder als Platzhalter für Felder, die für das entsprechende Ereignis nicht gelten. Beispiel: Mit dem Ereignis Datum sind keine Objekte verknüpft, das Feld (Obj_ID:Obj_Typ:Obj_ebe:Gerät:Haupt:Neben:I-Node:DS-ID) wird daher durch ein Komma ersetzt.

Enthält ein für ein Ereignis gültiges Feld einen ``ungültigen'' Wert, wird ein ? angezeigt. Wenn beispielsweise ein Login-Ereignis fehlschlägt, weil das System den Anmeldungsnamen nicht kennt (bzw. der Name nicht in eine Benutzerkennung umgewandelt werden kann), wird der Benutzer als ``ungültig'' gekennzeichnet, und ein ? wird angezeigt.

Beispiel für einen Revisionsdatensatz:

14:32:00:18:05:91,open_rd,P4556(2),f(13),boris:boris,irs:staff:proj43,
S328,(/etc/shadow:f::0x440000:17:2:148:0x440000)


14:32:00:18:05:91
Die Uhrzeit des Ereignisses: 14:32 am 18. Mai 1991.

open_rd
Der Ereignistyp. Unter ``Übersicht über protokollierbare Ereignisse und Ereignisklassen'' finden Sie eine vollständige Ereignisliste.

P4556(2)
Die Kennung des Prozesses, der das Ereignis ausgelöst hat mit vorangestelltem P. Die Kennung des LWP, der das Ereignis ausgelöst hat, steht in Klammern.

f(13)
Das Ereignis schlug mit den Beendungscode 13 fehl.

boris:boris
Der echte und der effektive Benutzername, durch Doppelpunkt getrennt.

irs:staff:proj43
Die echte und die effektive Gruppe gefolgt von einer weiteren Gruppe. Die Unterfelder sind durch Doppelpunkte voneinander getrennt.

S328
Die Sitzungskennung mit vorangestelltem S.

(/etc/shadow:f::0x440000:17:2:148:0x440000)
Die Objektkennung, die folgende Unterfelder enthält:

/etc/shadow
Der Name des Objekts.

f
Der Objekttyp (hier: reguläre Datei).

0x440000
Die Gerätenummer.

17
Die Hauptgerätenummer des Objekts.

2
Die Nebengerätenummer des Objekts.

148
Die I-Node-Nummer des Objekts.

0x440000
Die Dateisystemkennung des Objekts.
© 2003 The SCO Group, Inc. Alle Rechte vorbehalten.
UnixWare 7 Version 7.1.3 - 08. Juli 2003