home *** CD-ROM | disk | FTP | other *** search
/ IRIX Base Documentation 2001 May / SGI IRIX Base Documentation 2001 May.iso / usr / share / catman / a_man / cat1 / satd.z / satd
Encoding:
Text File  |  2001-04-17  |  14.0 KB  |  331 lines
  1.  
  2.  
  3.  
  4. ssssaaaattttdddd((((1111MMMM))))                                                              ssssaaaattttdddd((((1111MMMM))))
  5.  
  6.  
  7.  
  8. NNNNAAAAMMMMEEEE
  9.      satd - reliably save the system audit trail
  10.  
  11. SSSSYYYYNNNNOOOOPPPPSSSSIIIISSSS
  12.      ssssaaaattttdddd [ ----iiiioooovvvvyyyy1111 ] [ ----ffff path ... ] [ ----rrrr replacement-mode ] [ ----ssss file-size ]
  13.  
  14. DDDDEEEESSSSCCCCRRRRIIIIPPPPTTTTIIIIOOOONNNN
  15.      _s_a_t_d saves its input data in the directories and/or files named in its
  16.      path arguments.
  17.  
  18.      When one output path becomes full, _s_a_t_d replaces the current output path
  19.      with a path that is not full.  The method of replacement is configurable
  20.      with the ----rrrr option.  The output path is also replaced if _s_a_t_d receives a
  21.      SSSSIIIIGGGGHHHHUUUUPPPP signal, for instance one sent with a kkkkiiiillllllll ----1111 command.
  22.  
  23.      If an output path becomes nearly full, warnings are displayed to the
  24.      system console to notify the administrator to move the audit trail to
  25.      tape.  If all of the output paths become completely full, the system
  26.      state is changed to single-user mode after a very short grace period.
  27.      During the grace period, _s_a_t_d writes its records to /_s_a_t/_s_a_t_d._e_m_e_r_g_e_n_c_y-
  28.      <_n>, where <_n> is an integer that is incremented for each file created.
  29.      The system uses the file /_s_a_t/_s_a_t_d._r_e_s_e_r_v_e to maintain space for the
  30.      emergency files.
  31.  
  32.      See _a_u_d_i_t(1M) or the _I_R_I_X _A_d_m_i_n: _B_a_c_k_u_p, _S_e_c_u_r_i_t_y, _a_n_d _A_c_c_o_u_n_t_i_n_g guide
  33.      for more information on configuring the audit subsystem.
  34.  
  35. OOOOPPPPTTTTIIIIOOOONNNNSSSS
  36.      ----ffff _p_a_t_h
  37.           Specify an output path, which can be a directory or a file.  If the
  38.           output path is a directory, _s_a_t_d creates and fills uniquely named
  39.           files under that directory.  (Files are named for the time of their
  40.           creation.  For instance, file _s_a_t__1_9_9_1_0_1_2_3_1_6_3_6 or _s_a_t__9_1_0_1_2_3_1_6_3_6 (if
  41.           ----yyyy option has been specified) was created in 1991, on January 23 at
  42.           4:36 p.m.)  If the output path is a file, _s_a_t_d writes to that file.
  43.           If at any time _s_a_t_d receives a SSSSIIIIGGGGHHHHUUUUPPPP signal, _s_a_t_d will stop writing
  44.           to the current file and create a new file with the new file name
  45.           incorporating the current time stamp.
  46.  
  47.           When specifying several output paths in the command line, precede
  48.           each one with a ----ffff (as in example 1) or put commas (but no white
  49.           space) between each pathname.  Taken together, all of the output
  50.           paths specified in the command line are known as the _p_a_t_h _l_i_s_t.
  51.  
  52.           If no output paths are specified and the ----oooo option is not specified,
  53.           the audit trail records are not saved anywhere, and the system is
  54.           halted.
  55.  
  56.           If a path given as a command line parameter is invalid for any
  57.           reason, a warning is printed, that path is omitted from the path
  58.           list, and _s_a_t_d continues operating with whatever specified paths are
  59.           valid.
  60.  
  61.  
  62.  
  63.                                                                         PPPPaaaaggggeeee 1111
  64.  
  65.  
  66.  
  67.  
  68.  
  69.  
  70. ssssaaaattttdddd((((1111MMMM))))                                                              ssssaaaattttdddd((((1111MMMM))))
  71.  
  72.  
  73.  
  74.           If the specified path does not already exist, _s_a_t_d creates a file
  75.           with that name.
  76.  
  77.           A file or directory is full when the filesystem on which it resides
  78.           has no more available space.  If a directory is specified as an
  79.           output path, an audit file is constructed under that directory.
  80.           When the audit file is filled to a specified maximum size, it is
  81.           closed and a new audit file is created under that directory.
  82.  
  83.      ----iiii   Input audit records from standard input instead of obtaining them
  84.           from the kernel audit subsystem.
  85.  
  86.      ----oooo   Output audit records to standard output as well as to the output
  87.           paths specified with the ----ffff option.  Use this option to pipe the
  88.           audit trail to audit tools from _s_a_t_d.
  89.  
  90.           If the ----oooo option is given in the command line, and no output paths
  91.           are specified, the audit trail is copied to standard output, but it
  92.           is not saved to a mass storage device.  If the ----oooo option is absent
  93.           from the command line, and no output paths are specified, _s_a_t_d takes
  94.           records from the kernel audit subsystem, but discards them unused.
  95.  
  96.      ----rrrr _r_e_p_l_a_c_e_m_e_n_t-_m_o_d_e
  97.           The replacement mode can be either pppprrrreeeeffffeeeerrrreeeennnncccceeee, rrrroooottttaaaattttiiiioooonnnn, or oooonnnneeeeppppaaaassssssss.
  98.           The default replacement mode is pppprrrreeeeffffeeeerrrreeeennnncccceeee.  If the replacement mode
  99.           option appears more than once in the command line, _s_a_t_d prints an
  100.           error message and exits.
  101.  
  102.           If the replacement mode is rrrroooottttaaaattttiiiioooonnnn, _s_a_t_d replaces output paths in a
  103.           circular order.  When the current output path is full, _s_a_t_d writes
  104.           records to the next path in the list.  When the last output path is
  105.           full, _s_a_t_d writes records to the first path again.  If at any time
  106.           _s_a_t_d receives a SSSSIIIIGGGGHHHHUUUUPPPP signal, _s_a_t_d replaces the current output path
  107.           with the next path in the order of rotation.
  108.  
  109.           If the replacement mode is pppprrrreeeeffffeeeerrrreeeennnncccceeee, _s_a_t_d always uses the
  110.           available output path closest to the beginning of the path list.
  111.           When the current output path is full, _s_a_t_d tries to write records to
  112.           the first path again.  _s_a_t_d only writes records to a path if all of
  113.           the paths preceding it in the list are full.  If at any time _s_a_t_d
  114.           receives a SSSSIIIIGGGGHHHHUUUUPPPP signal, _s_a_t_d replaces the current output path with
  115.           the next path in the order of preference.
  116.  
  117.           If the replacement mode is oooonnnneeeeppppaaaassssssss, _s_a_t_d replaces output paths in a
  118.           linear order.  It uses the output paths in the order they are
  119.           specified in the command line.  If a SSSSIIIIGGGGHHHHUUUUPPPP signal is sent to _s_a_t_d
  120.           before the end of the path list is reached, _s_a_t_d starts again from
  121.           the beginning of the list.  If _s_a_t_d reaches the end of the path list
  122.           before receiving a SSSSIIIIGGGGHHHHUUUUPPPP signal, it halts the system immediately.
  123.  
  124.  
  125.  
  126.  
  127.  
  128.  
  129.                                                                         PPPPaaaaggggeeee 2222
  130.  
  131.  
  132.  
  133.  
  134.  
  135.  
  136. ssssaaaattttdddd((((1111MMMM))))                                                              ssssaaaattttdddd((((1111MMMM))))
  137.  
  138.  
  139.  
  140.      ----ssss _f_i_l_e-_s_i_z_e
  141.           The size of the audit file in Kilobytes can be specified to be
  142.           greater than the default of 4 Megabytes.  For example ----ssss 5555000000000000
  143.           specifies a maximum audit file size of 5 Megabytes.
  144.  
  145.      ----vvvv   Verbose indications of activity are printed to standard error.
  146.  
  147.      ----yyyy   Use a two-digit-year (sat_YYDDMMhhmm) for _s_a_t_d output files.
  148.           Default _s_a_t_d output files are in four-digit-year file format
  149.           (sat_YYYYDDMMhhmm).
  150.  
  151.      ----1111   Input data is consumed until the first time a _s_a_t_r_e_a_d system call
  152.           returns with less data read than requested.  When the first partial
  153.           buffer is read, _s_a_t_d exits.  The ----1111 option is used in debug and
  154.           testing to flush the kernel audit buffers.
  155.  
  156. FFFFIIIILLLLEEEESSSS
  157.      /sat/satd.emergency-0       "emergency" audit file, -0 through -9
  158.      /sat/satd.reserve           file to reserve 250,000 bytes for above
  159.      /etc/init.d/audit           system audit startup script
  160.      /etc/config/audit           configuration file, oooonnnn if auditing is enabled
  161.      /etc/config/sat.options     optional file for site-dependent satd options
  162.      /var/adm/sat                default directory, specified in
  163.                                  /_e_t_c/_i_n_i_t._d/_a_u_d_i_t
  164.  
  165. DDDDIIIIAAAAGGGGNNNNOOOOSSSSTTTTIIIICCCCSSSS
  166.      satd - ignoring path <_p_a_t_h_n_a_m_e>
  167.           The specified output path doesn't exist or is not usable.  _s_a_t_d
  168.           ignores it and trying the next entry in the path list.
  169.  
  170.      path is neither directory, nor disk file
  171.           The specified output path can't be used because it isn't one of the
  172.           object types understood by _s_a_t_d.  _s_a_t_d ignores the path and tries
  173.           the next entry in the path list.
  174.  
  175.      Onepass path search complete
  176.           All the entries in the output path have been used.  Since _s_a_t_d has
  177.           nowhere to put its audit records, it exits.
  178.  
  179.      Preference path search fails
  180.           None of the entries in the output path are available for use.  Since
  181.           _s_a_t_d has nowhere to put its audit records, it exits.
  182.  
  183.      Rotation path search fails
  184.           None of the entries in the output path are available for use.  Since
  185.           _s_a_t_d has nowhere to put its audit records, it exits.
  186.  
  187.      can't fstatfs <_p_a_t_h_n_a_m_e>
  188.           The specified output path doesn't exist or is in an unreadable
  189.           directory.  _s_a_t_d ignores it and tries the next entry in the path
  190.           list.
  191.  
  192.  
  193.  
  194.  
  195.                                                                         PPPPaaaaggggeeee 3333
  196.  
  197.  
  198.  
  199.  
  200.  
  201.  
  202. ssssaaaattttdddd((((1111MMMM))))                                                              ssssaaaattttdddd((((1111MMMM))))
  203.  
  204.  
  205.  
  206.      path N percent full
  207.           The auditor is advised to prepare to move the output file to
  208.           permanent storage, because the output path will become full soon.
  209.  
  210.      can't open <_p_a_t_h_n_a_m_e>
  211.           The specified output path can't be opened for write access, either
  212.           because it doesn't exist, or because it has restrictive permissions.
  213.  
  214.      opening path <_p_a_t_h_n_a_m_e>
  215.           The specified output path is being opened for use.  This message is
  216.           only seen if _s_a_t_d was invoked with the ----vvvv option (verbose mode).
  217.  
  218.      closing directory file <_p_a_t_h_n_a_m_e>
  219.           The filenamed in this message is being closed.  If room remains in
  220.           the filesystem, a new file is opened in the same directory.  The
  221.           auditor is advised to move the output file to permanent storage.
  222.  
  223.      null path pointer
  224.           An internal error has been encountered in _s_a_t_d.
  225.  
  226.      opened full path <_p_a_t_h_n_a_m_e>
  227.           The specified output path was opened, but it cannot be written
  228.           because there is no space on the device.  It is closed, and the next
  229.           entry in the path list is tried.
  230.  
  231.      Valid directory path but can't open file
  232.           An internal error has been encountered in _s_a_t_d.
  233.  
  234.      satd - sighup received
  235.           A SSSSIIIIGGGGHHHHUUUUPPPP signal was caught, informing _s_a_t_d to replace the current
  236.           output path with another path from the list.  The new path is chosen
  237.           in accordance with the replacement strategy specified by the auditor
  238.           with the ----rrrr command line option.  This message is only seen if _s_a_t_d
  239.           was invoked with the ----vvvv option (verbose mode).
  240.  
  241.      satd - X asked but Y written
  242.           Although _s_a_t_d tried to write X bytes of data, it succeeded in
  243.           writing only Y bytes.
  244.  
  245.      Only use one replacement strategy at a time
  246.           More than one ----rrrr option was provided as a command line option.  The
  247.           three replacement strategies (onepass, preference, and rotation) are
  248.           mutually exclusive.  Reinvoke _s_a_t_d with consistent command line
  249.           arguments.
  250.  
  251.      Can't read sat buffer
  252.           Audit records can't be obtained from the kernel sat subsystem,
  253.           probably due to insufficient privilege or access rights.
  254.  
  255.      Can't write sat buffer
  256.           Even though _s_a_t_d was invoked with the ----oooo command line option, it
  257.           cannot write audit records to standard output.
  258.  
  259.  
  260.  
  261.                                                                         PPPPaaaaggggeeee 4444
  262.  
  263.  
  264.  
  265.  
  266.  
  267.  
  268. ssssaaaattttdddd((((1111MMMM))))                                                              ssssaaaattttdddd((((1111MMMM))))
  269.  
  270.  
  271.  
  272.      Can't send sat buffer
  273.           Even though the output path has been opened successfully and is not
  274.           full, _s_a_t_d cannot write audit records to the path.
  275.  
  276. SSSSEEEEEEEE AAAALLLLSSSSOOOO
  277.      kill(1), mkdir(1), mknod(1M), sat_interpret(1M), sat_reduce(1M),
  278.      sat_select(1M), sat_summarize(1M), satread(2).
  279.  
  280.  
  281.  
  282.  
  283.  
  284.  
  285.  
  286.  
  287.  
  288.  
  289.  
  290.  
  291.  
  292.  
  293.  
  294.  
  295.  
  296.  
  297.  
  298.  
  299.  
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.                                                                         PPPPaaaaggggeeee 5555
  328.  
  329.  
  330.  
  331.