电脑技术学习

Solaris基本审计和报告工具使用攻略

dn001

  (2)BART报告和输出

  BART报告有三个输出:两个文件列表的比较和一个可能出现的差异标记。你能用bart compare命令比较两个文件列表:控制文件列表和测试文件列表。这些文件列表必须是具有相同的文件系统、选项和创建时使用的规则文件。bart compare命令报告两个文件列表的每一行的差异。这个差异就是指文件列表内表示的文件属性的任何差异。两个文件列表中条目的增加和删除也视为差异。在缺省模式下,bart compare 命令会检查系统上安装的除已修改的目录时间标记 (dirmtime) 外所有文件,如以下示例所示:

  CHECK all

  IGNOREdirmtime

  如果提供了 rules 文件,则全局指令 CHECK all 和 IGNORE dirmtime 会按照以上顺序自动前置到 rules 文件之前。

  BART 输出,将返回以下退出值:

  0 :成功

  1 :处理文件时出现非致命错误,如权限问题

  >1 :出现致命错误,如无效的命令行选项

  (3)BART规则文件。

  规则文件是用来管理bart命令的文件,是可选的。它使用或排除一些规则。规则文件用来创建定制文件列表和报告。规则文件使你能使用简单的语法设置文件的类别,以及哪些属性需要监控。当你比较文件列表时,规则文件帮助识别差异。使用规则文件是得到系统专门信息的有效方法。通过规则文件,可以执行以下任务:

  "使用 bart create 命令创建列出有关系统上所有文件或特定文件的信息的清单。

  "使用 bart compare 命令生成监视文件系统的特定属性的报告。

  3.BART使用方法

  规则用户、超级用户或具有重要管理权限的用户可以使用bart命令。如果你是运行bart的规则用户,你只能监控有权限访问的文件和目录,比如主目录信息。超级用户使用bart命令的优势是可以监控隐藏目录和私人目录的信息。如果要监控严格限制的目录,比如/etc/shadow和/etc/passwd目录,就需要是超级用户或具有相当角色的用户。Bart是Unix 命令行工具,所以首先必须了解相关参数:

标签: