|
|
|
seaudit 实用程序可显示 CA Access Control 审核日志文件中的记录。 要在 Windows 上执行 seaudit 实用程序,必须具有 AUDITOR 属性。 要在 UNIX 上执行 seaudit 实用程序,您必须属于 seos.ini 的 audir_group。 显示包括密码的审核记录时,seaudit 通过将密码文本替换为一系列星号 (***) 来保护密码识别。
注意:您可以在命令开关参数和选项中使用字符串匹配。 某些 UNIX shell 自动展开掩码参数;因此,当从此类 shell 调用 seaudit 时,应在星号或问号前键入反斜杠 (\),以防止 shell 处理掩码。
注意:seaudit 实用程序按用户名(而不是用户 ID)显示跟踪记录。
此命令格式如下:
seaudit switch [options]
定义实用程序的操作模式。 可以是以下各项之一:
显示除跟踪工具发送到审核日志的用户跟踪记录以外的所有记录。
注意:同样无法显示已连接的 TCP 记录(UNIX 中可显示)。 您还需要指定 -c 选项以显示这些记录。
显示该实用程序的帮助。
显示从指定服务的指定主机收到的 TCP 请求的 INET 审核记录。 host 和 service 都是标识 seaudit 所搜索的主机和服务集的掩码。
在 UNIX 上,要列出具有已建立连接的网络 ID(端口号)的 TCP 记录,请添加 ‑c 标志。 例如:
seaudit ‑i ‑c myhost telnet
显示指定终端上用逗号分隔的指定用户的 LOGIN 记录。
user 和 terminal 均为掩码。
在 UNIX 上,这还将列出 serevu 在启用和禁用用户时所创建的记录,以及验证后台进程在您输入了无效密码后所创建的记录。
显示指定用户(用逗号分隔)的指定资源上指定类的常规资源审核。
显示 CA Access Control 启动和关闭消息。
(仅限于 UNIX)。 显示 Watchdog 消息编号的描述。
显示日志代码表。
tr显示跟踪其活动的所有用户的跟踪记录。
注意:跟踪记录默认显示登录会话 ID 列。 如果您不想显示该列,请使用 -format 选项。
显示指定资源的跟踪记录。
显示具有指定的数字 uid 或用户名的用户的跟踪记录。
显示数据库更新审核记录:
显示 Watchdog 审核记录。
定义可更改实用程序显示其信息的方式的可选修改符。 可以是以下一项或多项:
(仅限于 UNIX)。 显示已连接的 INET 记录。 这些是为会话 ID 跟踪而生成的记录,列出了成功的 TCP 连接的端口号。
例如:某位用户 (user1) 打开了从 comp1 到 comp2 的 Telnet 会话,comp1 和 comp2 均安装了 CA Access Control。 可以将 comp2 上安装的 CA Access Control 配置(logconnected 配置设置)为向 comp1 发送声明以及通过 Telnet 会话登录的用户的凭据(可能是 user1 以外的其他用户)。 comp1 收到此声明后,将创建一条 TCP-CONNECTED 记录(会话建立记录),之后可使用 -c 选项显示此记录。
显示有关每条记录的详细信息。
定义在第一个字段之前和其余字段之间所使用的分隔符。 例如:以下命令可使字段显示在用逗号分隔的引号中。
seaudit ‑a ‑delim \”,\”
除了第一个字段前面没有分隔符之外,与 ‑delim 选项相同。
除了年、月和日之间有分隔符之外,与 -delim 选项相同。
与 -delim2 选项相同。
指定结束日期。 不显示此日期之后的记录。
您可以用两种方式之一指定 date:
也可以使用字符串 today,后跟(减号)和一个数字。‑ 这样可以将日期定义为今天之前的指定天数。 例如:today‑3 表示日期为三天前。
指定结束时间。 不显示此时间之后的记录。
您可以用两种方式之一指定 time:
也可以使用字符串 now,后跟 ‑(减号)和一个数字。 这可以将时间定义为现在之前的指定分钟数。 例如:now‑60 表示时间是六十分钟(一小时)前。 要描述某特定日内的时间范围,请将此选项与 ‑sd 和/或 ‑ed 结合使用。
指定不显示失败的访问。
指定要搜索的审核日志文件的名称。
指定输出格式与用于 CA Access Control 版本的一样。
release-定义版本号。 有效值包括:
指定不显示成功(授权)的访问。
指定不显示成功(授权)的访问,但通知记录除外。
(仅限 UNIX)指定显示键盘日志记录审核文件 (kbl.audit) 的内容。
显示审核文件中记录的所有会话。
指定键盘记录会话 ID。
重放整个键盘记录会话。
显示整个键盘记录会话,不包括控制字符。
(仅限 UNIX)显示用户在命令行记录会话期间输入的命令。
显示用户在 shell 中执行的命令的 EXECARGS 详细信息。
指定此选项时,将显示记录的会话时间。
注意:可以在以下 shell 中运行此命令:bash、tcsh、csh、ksh、jsh、rsh、ash、zsh
(仅限 UNIX)指定不显示注销记录。
(仅限 UNIX)指定应该显示四位数年份而不是两位数年份。
指定应在 TCP/IP 记录中显示 Internet 地址而不是主机名。
指定不显示 NOTIFY 审核记录。
指定仅显示来源于指定主机的记录。
仅当从 selogrcd 日志路由收集后台进程所创建的合并审核文件浏览记录时,此选项才适用。‑
(仅限 UNIX)指定不显示密码尝试记录。
指定开始日期。 不显示此日期之前的记录。
您可以用两种方式之一指定 date:
也可以使用字符串 today,后跟(减号)和一个数字。‑ 这样可以将日期定义为今天之前的指定天数。 例如:today‑3 表示日期为三天前。
指定以显示包含用户登录会话 ID 信息的列。 默认情况下该列将隐藏。
注意:该选项仅对配备 r12.0 SP1 及更高版本的端点有效。
指定开始时间。 不显示此时间之前的记录。
您可以用两种方式之一指定 time:
也可以使用字符串 now,后跟 ‑(减号)和一个数字。 这可以将时间定义为现在之前的指定分钟数。 例如:now‑60 表示时间是六十分钟(一小时)前。 要描述某特定日内的时间范围,请将此选项与 ‑sd 和/或 ‑ed 结合使用。
指定显示端口号,而不是服务名。
指定不显示警告记录。
示例
seaudit ‑a ‑sd 04‑Jan‑2004
seaudit ‑sd 04‑Jan‑2004 ‑ed 04‑Jan‑2004 ‑l root * ‑g
seaudit ‑r FILE * John
seaudit ‑a ‑st 17:00 ‑et 08:00
seaudit ‑a ‑st 08:00 ‑et 17:00
seaudit ‑login * * ‑resource * * * ‑grant ‑failure ‑logout ‑pwa
seaudit ‑login "user1, user2"
seaudit ‑a ‑sd today‑1 ‑ed today‑1
seaudit -kbl
seaudit -kbl -sid 22316 -rp
seaudit -kbl -sid 22316 -cmd
seaudit ‑tru 244 ‑trr FILE
seaudit ‑tru "user1, 244"
| 版权所有 © 2011 CA。 保留所有权利。 | 就该主题发送电子邮件至 CA Technologies |