home *** CD-ROM | disk | FTP | other *** search
/ IRIX Base Documentation 2001 May / SGI IRIX Base Documentation 2001 May.iso / usr / share / catman / a_man / cat1 / sat_reduce.z / sat_reduce
Encoding:
Text File  |  2001-04-17  |  12.9 KB  |  265 lines
  1.  
  2.  
  3.  
  4. ssssaaaatttt____rrrreeeedddduuuucccceeee((((1111MMMM))))                                                  ssssaaaatttt____rrrreeeedddduuuucccceeee((((1111MMMM))))
  5.  
  6.  
  7.  
  8. NNNNAAAAMMMMEEEE
  9.      sat_reduce - filter interesting records from the system audit trail
  10.  
  11. SSSSYYYYNNNNOOOOPPPPSSSSIIIISSSS
  12.      ssssaaaatttt____rrrreeeedddduuuucccceeee [----aaaa date-and-time] [----AAAA date-and-time]
  13.           [(----cccc | ----CCCC) command-name ... ]
  14.           [(----ssss | ----SSSS) syscall-name ... ]
  15.           [(----uuuu | ----UUUU) user-name ... ]
  16.           [(----eeee | ----EEEE) event ...]
  17.           [(----llll | ----LLLL) label ...]
  18.           [(----nnnn | ----NNNN) named-object ... ]
  19.           [----ffff] [----pppp] [----PPPP] [----vvvv] [infile ...]
  20.  
  21.  
  22. DDDDEEEESSSSCCCCRRRRIIIIPPPPTTTTIIIIOOOONNNN
  23.      _s_a_t__r_e_d_u_c_e examines an input stream of binary audit data, selects records
  24.      that match the criteria specified by its run time arguments, and prints
  25.      the chosen records in binary to standard output.
  26.  
  27. OOOOPPPPTTTTIIIIOOOONNNNSSSS
  28.      ----aaaa _d_a_t_e-_a_n_d-_t_i_m_e
  29.                 Select records _a_n_t_e_c_e_d_e_n_t _t_o (before) the specified date and
  30.                 time.  The date and time are expressed in the _m_m_d_d_h_h_m_m[[_c_c]_y_y]
  31.                 format described in the _d_a_t_e(1) manual page.
  32.  
  33.      ----AAAA _d_a_t_e-_a_n_d-_t_i_m_e
  34.                 Select records _a_f_t_e_r the specified date and time.  The date
  35.                 and time are expressed in the _m_m_d_d_h_h_m_m[[_c_c]_y_y] format
  36.                 described in the _d_a_t_e(1) manual page.
  37.  
  38.      ----cccc _c_o_m_m_a_n_d-_n_a_m_e
  39.                 Select records generated by the specified command name.
  40.  
  41.      ----CCCC _c_o_m_m_a_n_d-_n_a_m_e
  42.                 Select records generated commands other than the specified
  43.                 command name.
  44.  
  45.      ----ssss _s_y_s_c_a_l_l-_n_a_m_e
  46.                 Select records generated by the specified system call name.
  47.  
  48.      ----SSSS _s_y_s_c_a_l_l-_n_a_m_e
  49.                 Select records generated commands other than the specified
  50.                 system call name.
  51.  
  52.      ----uuuu _u_s_e_r-_n_a_m_e
  53.                 Select records containing the specified user name.
  54.  
  55.      ----UUUU _u_s_e_r-_n_a_m_e
  56.                 Select records lacking the specified user name.
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63.                                                                         PPPPaaaaggggeeee 1111
  64.  
  65.  
  66.  
  67.  
  68.  
  69.  
  70. ssssaaaatttt____rrrreeeedddduuuucccceeee((((1111MMMM))))                                                  ssssaaaatttt____rrrreeeedddduuuucccceeee((((1111MMMM))))
  71.  
  72.  
  73.  
  74.      ----eeee _e_v_e_n_t   Select records containing the specified audit event.  The
  75.                 format of the event string is defined in the
  76.                 _s_a_t__e_v_e_n_t_t_o_s_t_r(3L) manual page.
  77.  
  78.      ----EEEE _e_v_e_n_t   Select records lacking the specified audit event.  The format
  79.                 of the event string is defined in the _s_a_t__e_v_e_n_t_t_o_s_t_r(3L)
  80.                 manual page.
  81.  
  82.      ----llll _l_a_b_e_l   Select records for which the user is at the specified label.
  83.                 The format of the label string is defined in the
  84.                 _m_a_c__f_r_o_m__t_e_x_t(3C) manual page.
  85.  
  86.      ----LLLL _l_a_b_e_l   Select records for which the user is nnnnooootttt at the specified
  87.                 label.  The format of the label string is defined in the
  88.                 _m_a_c__f_r_o_m__t_e_x_t(3C) manual page.
  89.  
  90.      ----nnnn _n_a_m_e_d-_o_b_j_e_c_t
  91.                 Select records whose pathname field contains the specified
  92.                 named object.  A regular expression, as defined in the
  93.                 _r_e_g_e_x(3G) manual page, can be used to specify the named
  94.                 object.
  95.  
  96.      ----NNNN _n_a_m_e_d-_o_b_j_e_c_t
  97.                 Select records whose pathname field lacks the specified named
  98.                 object.  A regular expression, as defined in the _r_e_g_e_x(3G)
  99.                 manual page, can be used to specify the _n_a_m_e_d-_o_b_j_e_c_t.
  100.  
  101.      ----ffff         Apply the restrictions of the ----aaaa and ----AAAA options to the file
  102.                 header, eliminating those files from consideration which fall
  103.                 outside the range of times specified.
  104.  
  105.      ----pppp         Select records describing user actions ppppeeeerrrrmmmmiiiitttttttteeeedddd by the system
  106.                 security policy.  This option requires no argument.
  107.  
  108.      ----PPPP         Select records describing user actions pppprrrroooohhhhiiiibbbbiiiitttteeeedddd by the
  109.                 system security policy, that is, records describing deliberate
  110.                 or inadvertent attempted violations of security policy.  This
  111.                 option requires no argument.
  112.  
  113.      ----vvvv         Verbose diagnostic notes are printed to standard error.
  114.  
  115.      _i_n_f_i_l_e     Data is taken from the specified _i_n_f_i_l_es.  If no _i_n_f_i_l_es are
  116.                 specified, data is taken from standard input.  The format of
  117.                 _i_n_f_i_l_e must be identical to the output generated by _s_a_t_d(1M)
  118.                 and _s_a_t__r_e_d_u_c_e(1M).
  119.  
  120. DDDDEEEEFFFFAAAAUUUULLLLTTTTSSSS
  121.      If many record selection conditions are presented on the command line,
  122.      they all must be true for a record to be chosen.
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129.                                                                         PPPPaaaaggggeeee 2222
  130.  
  131.  
  132.  
  133.  
  134.  
  135.  
  136. ssssaaaatttt____rrrreeeedddduuuucccceeee((((1111MMMM))))                                                  ssssaaaatttt____rrrreeeedddduuuucccceeee((((1111MMMM))))
  137.  
  138.  
  139.  
  140.      If ----aaaa is not specified, records are selected starting with the beginning
  141.      of the system audit trail.  If ----AAAA is not specified, records are selected
  142.      ending with the conclusion of the system audit trail.  If ----ffff is not
  143.      specified, every record of all of the _i_n_f_i_l_es will be checked.
  144.  
  145.      If neither ----cccc nor ----CCCC are specified, _s_a_t__r_e_d_u_c_e selects records describing
  146.      actions by any command.  If both ----cccc and ----CCCC are specified, _s_a_t__r_e_d_u_c_e
  147.      prints a warning and a usage string to standard error, then exits.  If
  148.      more than one ----cccc argument is specified, _s_a_t__r_e_d_u_c_e selects records
  149.      describing actions by any command specified by one of the ----cccc arguments.
  150.      If more than one ----CCCC argument is specified, _s_a_t__r_e_d_u_c_e selects records
  151.      describing actions by commands specified by none of the ----CCCC arguments.
  152.  
  153.      If neither ----ssss nor ----SSSS are specified, _s_a_t__r_e_d_u_c_e selects records describing
  154.      actions by any system call.  If both ----ssss and ----SSSS are specified, _s_a_t__r_e_d_u_c_e
  155.      prints a warning and a usage string to standard error, then exits.  If
  156.      more than one ----ssss argument is specified, _s_a_t__r_e_d_u_c_e selects records
  157.      describing actions by any system call specified by one of the ----ssss
  158.      arguments.  If more than one ----SSSS argument is specified, _s_a_t__r_e_d_u_c_e selects
  159.      records describing actions by system calls specified by none of the ----SSSS
  160.      arguments.
  161.  
  162.      If neither ----uuuu nor ----UUUU are specified, _s_a_t__r_e_d_u_c_e selects records describing
  163.      actions by any user.  If both ----uuuu and ----UUUU are specified, _s_a_t__r_e_d_u_c_e prints
  164.      a warning and a usage string to standard error, then exits.  If more than
  165.      one ----uuuu argument is specified, _s_a_t__r_e_d_u_c_e selects records describing
  166.      actions by any user specified by one of the ----uuuu arguments.  If more than
  167.      one ----UUUU argument is specified, _s_a_t__r_e_d_u_c_e selects records describing
  168.      actions by users specified by none of the ----UUUU arguments.
  169.  
  170.      If neither ----eeee nor ----EEEE are specified, _s_a_t__r_e_d_u_c_e selects records containing
  171.      any audit event.  If both ----eeee and ----EEEE are specified, _s_a_t__r_e_d_u_c_e prints a
  172.      warning and a usage string to standard error, then exits.  If more than
  173.      one ----eeee argument is specified, _s_a_t__r_e_d_u_c_e selects records that contain
  174.      audit events specified by any of the ----eeee arguments.  If more than one ----EEEE
  175.      argument is specified, _s_a_t__r_e_d_u_c_e selects records that contain audit
  176.      events specified by none of the ----EEEE arguments.
  177.  
  178.      If neither ----llll nor ----LLLL are specified, _s_a_t__r_e_d_u_c_e selects records describing
  179.      actions by users at any label.  If both ----llll and ----LLLL are specified,
  180.      _s_a_t__r_e_d_u_c_e prints a warning and a usage string to standard error, then
  181.      exits.  If more than one ----llll argument is specified, _s_a_t__r_e_d_u_c_e selects
  182.      records describing actions by users at a label specified by any of the ----llll
  183.      arguments.  If more than one ----LLLL argument is specified, _s_a_t__r_e_d_u_c_e selects
  184.      records describing actions by users at a label specified by none of the
  185.      ----LLLL arguments.
  186.  
  187.      If neither ----nnnn nor ----NNNN are specified, _s_a_t__r_e_d_u_c_e selects records with
  188.      pathnames containing any named object.  If both ----nnnn and ----NNNN are specified,
  189.      _s_a_t__r_e_d_u_c_e prints a warning and a usage string to standard error, then
  190.      exits.  If more than one ----nnnn argument is specified, _s_a_t__r_e_d_u_c_e selects
  191.      records with pathnames containing a named object specified by any of the
  192.  
  193.  
  194.  
  195.                                                                         PPPPaaaaggggeeee 3333
  196.  
  197.  
  198.  
  199.  
  200.  
  201.  
  202. ssssaaaatttt____rrrreeeedddduuuucccceeee((((1111MMMM))))                                                  ssssaaaatttt____rrrreeeedddduuuucccceeee((((1111MMMM))))
  203.  
  204.  
  205.  
  206.      ----nnnn arguments.  If more than one ----NNNN argument is specified, _s_a_t__r_e_d_u_c_e
  207.      selects records with pathnames containing a named object specified by
  208.      none of the ----NNNN arguments.
  209.  
  210.      If neither ----pppp nor ----PPPP are specified, _s_a_t__r_e_d_u_c_e selects both records
  211.      describing permitted actions and records describing attempts at
  212.      prohibited actions.  If both ----pppp and ----PPPP are specified, _s_a_t__r_e_d_u_c_e selects
  213.      no records at all.
  214.  
  215. EEEEXXXXAAAAMMMMPPPPLLLLEEEESSSS
  216.      _s_a_t__r_e_d_u_c_e is commonly used in combination with other audit filters.  In
  217.      the following example, the Auditor wishes to obtain only the audit
  218.      records generated between July 1 of this year and July 31 of this year,
  219.      and display their human readable interpretation:
  220.  
  221.           satd -f /usr/adm/sat -o | sat_reduce -A 06302359 -a 08010000 |
  222.           sat_interpret
  223.  
  224.      If the Auditor wishes to read audit records stored previously in a file
  225.      named /_s_a_t__f_s/_j_u_l_y__3_1 and retain only the records describing the actions
  226.      of users named "sneakyguy" and "maybecrooked", and further to retain only
  227.      those actions that indicate attempted violations of system security
  228.      policy, the correct command is:
  229.  
  230.           sat_reduce -u "sneakyguy maybecrooked" -P < /sat_fs/july_31 |
  231.           sat_interpret
  232.  
  233.  
  234. SSSSEEEEEEEE AAAALLLLSSSSOOOO
  235.      audit(1M), date(1), mac_from_text(3C), sat_interpret(1M), sat_select(1M),
  236.      sat_summarize(1M), satd(1M), regex(3G), sat_eventtostr(3L).
  237.  
  238.      _I_R_I_X _A_d_m_i_n: _B_a_c_k_u_p, _S_e_c_u_r_i_t_y, _a_n_d _A_c_c_o_u_n_t_i_n_g
  239.  
  240.  
  241.  
  242.  
  243.  
  244.  
  245.  
  246.  
  247.  
  248.  
  249.  
  250.  
  251.  
  252.  
  253.  
  254.  
  255.  
  256.  
  257.  
  258.  
  259.  
  260.  
  261.                                                                         PPPPaaaaggggeeee 4444
  262.  
  263.  
  264.  
  265.