|
|
Der Befehl auditmap erstellt die Revisions-Zuordnungsdatei. Die Zuordnungsdateien enthalten systemabhängige Daten, die von dem Befehl auditrpt zum Konvertieren numerischer Daten verwendet werden. Die Protokolldatei enthält numerische Daten, um die Dateigröße gering zu halten und die erforderliche Rechenzeit bei der Aufzeichnung zu verringern.
Der Befehl auditrpt nutzt die Zuordnungsdateien zum Konvertieren von Benutzer-, Gruppen-, Privileg-, Ereignis- und Systemaufrufdaten aus Zahlen in Namen. Sind die Zuordnungsdateien nicht verfügbar oder können die enthaltenen Daten nicht konvertiert werden, gibt auditrpt eine ASCII-Darstellung der numerischen Daten aus. Beispiel: Wenn die Zuordnungsdateien keine Daten für Benutzerkennung 9424 enthalten, gibt auditrpt die Zahl 9424 anstelle des Benutzernamens aus. Die Ausgabe von auditrpt ist ohne Zuordnungsdateien schwer verständlich.
Per Standard befinden sich die Revisions-Zuordnungsdateien im Verzeichnis /var/audit/auditmap. Die Revisions-Zuordnungsdateien verhalten sich wie folgt:
Der Befehl auditmap wird automatisch aufgerufen, wenn die Revision aktiviert wird. Falls die Revisions-Zuordnungsdateien bereits existieren, werden sie umbenannt, indem ihnen ein ``o'' vorangestellt wird. Danach werden die neuen Revisions-Zuordnungsdateien erstellt.
Mit der Option -m des Befehls auditmap können Sie das Verzeichnis angeben, in dem die Zuordnungsdateien abgelegt werden sollen. Geben Sie beispielsweise folgenden Befehl ein, wenn die Zuordnungsdateien im Verzeichnis /etc/audit/auditmap, abgelegt werden sollen:
auditmap -m /etc/audit/auditmap