seaudit 实用程序显示 CA ControlMinder 审核日志文件中的记录。 要在 Windows 上执行 seaudit 实用工具,您必须有 AUDITOR 属性并必须属于在 seos.ini 的 audir_group。 在显示包括密码的审核记录时,seaudit 通过一系列星号 (***) 取代密码文本来保护密码身份。
注意:您可以在命令开关参数和选项中使用字符串匹配。 一些 UNIX shell 自动扩展掩码参数;因此,从这样的 shell 调用 seaudit 时,您应阻止掩码通过在星号或问号之前键入反斜线 (\) 由 shell 进行处理。
注意:seaudit 实用程序按用户名(而不是用户 ID)显示跟踪记录。
此命令格式如下:
seaudit switch [options]
定义实用程序的操作模式。 可以是以下选项之一:
显示除跟踪工具发送到审核日志的用户跟踪记录以外的所有记录。
注意:也不显示可用于 UNIX 的连接 TCP 记录。 指定 -c 选项以显示这些记录。
显示此实用程序的帮助。
显示从指定服务的指定主机接收的 TCP 请求的 INET 审核记录。 host 和 service 都是识别 seaudit 搜索的系列主机和服务的掩码。
在 UNIX 上,要列出具有已建立连接的网络 ID(端口号)的 TCP 记录,请添加 ‑c 标志。 例如:
seaudit ‑i ‑c myhost telnet
显示指定终端上以逗号分隔的指定用户的 LOGIN 记录。
user 和 terminal 都是掩码。
在 UNIX 上,这还将列出 serevu 在启用和禁用用户时所创建的记录,以及验证后台进程在您输入了无效密码后所创建的记录。
显示以逗号分隔的指定用户的指定资源上的指定类的常规资源审核。
显示 CA ControlMinder 启动和关闭消息。
(仅限于 UNIX)。 显示 watchdog 消息编号的说明。
显示日志代码表。
显示跟踪其活动的所有用户的跟踪记录。
注意:在默认情况下跟踪记录显示登录会话 ID 列。 如果不想显示该列,请使用 -format 选项。
显示指定资源的跟踪记录。
显示具有指定数字的 uid 或用户名的用户的跟踪记录。
显示数据库更新审核记录:
显示 watchdog 审核记录。
定义更改实用程序显示其信息方式的可选修饰符。 可以是以下选项之一或更多:
(仅限于 UNIX)。 显示已连接 INET 记录。 这些是为会话 ID 跟踪而生成的记录,列出了成功 TCP 连接的端口号。
例如:某位用户 (user1) 打开了从 comp1 到 comp2 的 Telnet 会话,comp1 和 comp2 均安装了 CA ControlMinder。 可以 配置 comp2 上的 CA ControlMinder(日志连接配置设置)以将确认发送到具有通过 Telnet 会话登录的用户凭据的 comp1(这可能是除 user1 之外的用户)。 comp1 收到此确认时,将创建 TCP 连接记录(会话建立记录),然后使用 -c 选项可以显示该记录。
显示有关每条记录的详细信息。
定义在第一个字段之前和其余字段之间所使用的分隔符。 例如:以下命令可使字段显示在用逗号分隔的引号中:
seaudit ‑a ‑delim \”,\”
除了第一个字段前面没有分隔符之外,与 ‑delim 选项相同。
除了年、月和日之间有分隔符之外,与 -delim 选项相同。
与 -delim2 选项相同。
指定结束日期。 不显示在此日期之后记录的记录。
您可以使用以下两种方式之一指定日期:
也可以使用字符串 today,后跟(减号)和一个数字。‑ 这样可以将日期定义为今天之前的指定天数。 例如:today‑3 表示日期为三天前。
指定结束时间。 不显示在此时间之后记录的记录。
您可以使用以下两种方式之一指定时间:
也可以使用字符串 now,后跟 ‑(减号)和一个数字。 这样可以将时间定义为现在之前的指定分钟数。 例如:now‑60 表示时间是六十分钟(一小时)前。 要描述某特定日内的时间范围,请将此选项与 ‑sd、‑ed 或两者结合使用。
注意:now 字符串针对当今的时间有效。 例如,如果当前时间是 130 am,您指定 now-89。 如果您指定 now-89,那么不会出现记录。
指定 not 以显示访问失败。
指定要搜索的审核日志文件的名称。
指定看上去象 CA ControlMinder 版本的输出格式。
release-定义版本号。 有效值包括:
指定 not 显示成功(已授予)访问权限。
指定 not 显示成功(已授予)访问权限,除通知记录之外。
(仅限 UNIX)指定显示键盘日志记录审核文件 (kbl.audit) 的内容。
显示审核文件中记录的所有会话。
指定键盘记录会话 ID。
重放整个键盘记录会话。
显示整个键盘记录会话,不包括控制字符。
(仅限 UNIX)显示用户在命令行记录会话期间输入的命令。
显示用户在 shell 中执行的命令的 EXECARGS 详细信息。
指定此选项时,将显示记录的会话时间。
注意:可以在以下 shell 中运行此命令:bash、tcsh、csh、ksh、jsh、rsh、ash、zsh
(仅 UNIX)指定 not 显示注销记录。
(仅 UNIX)指定使用四位数而不是二位数显示年份。
指定应显示 Internet 地址而不是 TCP/IP 记录中的主机名。
指定 not 显示 NOTIFY 审核记录。
指定仅显示来源于指定主机的记录。
仅当从 selogrcd 日志‑路由收集后台进程所创建的合并审核文件浏览记录时,此选项才适用。
(仅 UNIX)指定 not 显示密码尝试记录。
指定开始日期。 不显示在此日期之前记录的记录。
您可以使用以下两种方式之一指定日期:
也可以使用字符串 today,后跟(减号)和一个数字。‑ 这样可以将日期定义为今天之前的指定天数。 例如:today‑3 表示日期为三天前。
指定显示包含用户登录会话 ID 信息的列。 在默认情况下,该列为隐藏。
注意:此选项只针对具有 r12.0 SP1 和以上版本的端点有效。
指定开始时间。 不显示在此时间之前记录的记录。
您可以使用以下两种方式之一指定时间:
也可以使用字符串 now,后跟 ‑(减号)和一个数字。 这样可以将时间定义为现在之前的指定分钟数。 例如:now‑60 表示时间是六十分钟(一小时)前。 要描述某特定日内的时间范围,请将此选项与 ‑sd、‑ed 或两者结合使用。
注意:now 字符串针对当今的时间有效。 例如,如果当前时间是 130 am,您指定 now-89。 如果您指定 now-89,那么不会出现记录。
指定显示端口号,而不是服务名。
指定 not 显示警告记录。
示例
seaudit ‑a ‑sd 04‑Jan‑2004
seaudit ‑sd 04‑Jan‑2004 ‑ed 04‑Jan‑2004 ‑l root * ‑g
seaudit ‑r FILE "*" John
seaudit ‑a ‑st 17:00 ‑et 08:00
seaudit ‑a ‑st 08:00 ‑et 17:00
seaudit ‑login * * ‑resource * * * ‑grant ‑failure ‑logout ‑pwa
seaudit ‑login "user1, user2"
seaudit ‑a ‑sd today‑1 ‑ed today‑1
seaudit -kbl
seaudit -kbl -a
seaudit -kbl -a -sid 22764
seaudit -kbl -sid 22316 -rp
seaudit -kbl -sid 22316 -cmd
seaudit ‑tru 244 ‑trr FILE
seaudit ‑tru "user1, 244"
|
版权所有 © 2013 CA。
保留所有权利。
|
|