Die Ausgabe des Befehls ``auditrpt''
Die Ausgabe des Befehls auditrpt besteht aus drei Abschnitten: Der erste Abschnitt ist die vom Verwalter eingegebene Befehlszeile. Die beiden anderen Abschnitte werden für jedes verarbeitete Ereignisprotokoll wiederholt. Der zweite Abschnitte enthält Informationen über die Protokolldatei und zur Systemidentifizierung: die interne Kennung der Protokolldatei, die Revisionsversion, die die Protokolldatei erstellt hat und die Kennung des Rechners, auf dem die Protokolldatei erstellt wurde. Der dritte Abschnitt enthält die Revisionsdatensätze, die die in der Befehlszeile angegebenen Revisionskriterien erfüllen. Auf jeder Zeile wird ein Datensatz angezeigt, der aus einer Reihe von durch Kommas getrennten Feldern besteht. Ein Datensatz hat folgendes Format:
Zeit,Ereignis,PID(LWP_ID),Ergebnis,Benutzer,Gruppe(n),Sitzung,Subj_ebe, \
(Obj_ID:Obj_Typ:Obj_ebe:Gerät:Haupt:Neben:I-Node:DS_ID)(. . .)[,pgm_prm]
Erläuterung der Felder:
Zeit-
Die Zeit des Ereignisses. Das Format ist stunde:minute:sekunde:tag:monat:jahr.
Ereignis-
Der Ereignistyp. Unter ``Übersicht über protokollierbare Ereignisse und Ereignisklassen'' finden Sie eine vollständige Ereignisliste.
PID-
Die Prozess-ID mit vorgestelltem P.
LWP_ID-
Die Kennung des Lightweight-Prozesses, der das Ereignis ausgelöst hat.
Ergebnis-
Das Ergebnis des Ereignisses: s für Erfolg bzw. f(Beendungscode) für Fehler.
Benutzer-
Der echte und effektive Benutzername, durch Doppelpunkt getrennt (Beispiel: echter_Benutzername:effektiver_Benutzername).
Gruppe-
Die realen und effektiven Gruppen, durch Doppelpunkt voneinander getrennt und ggf. gefolgt von einer Liste weitere Gruppen (Beispiel: reale_Grp:effektive_Grp:weit_Grp1:weit_Grp2...).
Sitzung-
Die numerische Sitzungs-ID mit vorangestelltem S.
Subj_ebe-
Wird zur Zeit nicht verwendet.
(Obj_ID:Obj_Typ:Obj_ebe:Gerät:Haupt:Neben:I-Node:DS-ID)-
Dieses Feld enthält Objektkennungen in Klammern. Wird in einem Ereignis auf mehrere Objekte zugegriffen, wird dieses Feld wiederholt. Das Feld enthält folgende Unterfelder:
Obj_ID-
Die Objektkennung.
Obj_Typ-
Der Objekttyp: f (reguläre Datei), c (zeichenorientierte Spezialdatei), b (blockorientierte Spezialdatei), l (Verknüpfung), d (Verzeichnung), p (benannte oder unbenannte Pipe), s (Semaphor), h (gemeinsam genutzter Speicher) oder m (Meldungen).
Obj_ebe-
Wird zur Zeit nicht verwendet.
Gerät-
Die Gerätenummer des Objekts.
Haupt-
Die Hauptgerätenummer des Objekts.
Neben-
Die Gerätenebennummer des Objekts.
I-Node-
Die I-Node-Nummer des Objekts.
DS-ID-
Die Dateisystemkennung des Objekts.
pgm_prm-
Dieses Feld ist für jedes Ereignis spezifisch und kann aus mehreren Unterfeldern bestehen. Auf der Manual-Seite des Befehls auditrpt(1M) finden Sie weitere Informationen zum pgm_prm-Feld für jedes Objekt.
Kommas in der Anzeige eines Revisionsdatensatzes dienen entweder zum Trennen der einzelnen Felder oder als Platzhalter für Felder, die für das entsprechende Ereignis nicht gelten. Beispiel: Mit dem Ereignis Datum sind keine Objekte verknüpft, das Feld (Obj_ID:Obj_Typ:Obj_ebe:Gerät:Haupt:Neben:I-Node:DS-ID) wird daher durch ein Komma ersetzt.
Enthält ein für ein Ereignis gültiges Feld einen ``ungültigen'' Wert, wird ein ? angezeigt. Wenn beispielsweise ein Login-Ereignis fehlschlägt, weil das System den Anmeldungsnamen nicht kennt (bzw. der Name nicht in eine Benutzerkennung umgewandelt werden kann), wird der Benutzer als ``ungültig'' gekennzeichnet, und ein ? wird angezeigt.
Beispiel für einen Revisionsdatensatz:
14:32:00:18:05:91,open_rd,P4556(2),f(13),boris:boris,irs:staff:proj43,
S328,(/etc/shadow:f::0x440000:17:2:148:0x440000)
14:32:00:18:05:91-
Die Uhrzeit des Ereignisses: 14:32 am 18. Mai 1991.
open_rd-
Der Ereignistyp. Unter ``Übersicht über protokollierbare Ereignisse und Ereignisklassen'' finden Sie eine vollständige Ereignisliste.
P4556(2)-
Die Kennung des Prozesses, der das Ereignis ausgelöst hat mit vorangestelltem P. Die Kennung des LWP, der das Ereignis ausgelöst hat, steht in Klammern.
f(13)-
Das Ereignis schlug mit den Beendungscode 13 fehl.
boris:boris-
Der echte und der effektive Benutzername, durch Doppelpunkt getrennt.
irs:staff:proj43-
Die echte und die effektive Gruppe gefolgt von einer weiteren Gruppe. Die Unterfelder sind durch Doppelpunkte voneinander getrennt.
S328-
Die Sitzungskennung mit vorangestelltem S.
(/etc/shadow:f::0x440000:17:2:148:0x440000)-
Die Objektkennung, die folgende Unterfelder enthält:
/etc/shadow-
Der Name des Objekts.
f-
Der Objekttyp (hier: reguläre Datei).
0x440000-
Die Gerätenummer.
17-
Die Hauptgerätenummer des Objekts.
2-
Die Nebengerätenummer des Objekts.
148-
Die I-Node-Nummer des Objekts.
0x440000-
Die Dateisystemkennung des Objekts.
© 2003 The SCO Group, Inc. Alle Rechte vorbehalten.
UnixWare 7 Version 7.1.3 - 08. Juli 2003