home *** CD-ROM | disk | FTP | other *** search
/ IRIX Base Documentation 2002 November / SGI IRIX Base Documentation 2002 November.iso / usr / share / catman / a_man / cat1 / satd.z / satd
Encoding:
Text File  |  2002-10-03  |  14.6 KB  |  331 lines
  1.  
  2.  
  3.  
  4. ssssaaaattttdddd((((1111MMMM))))                                                              ssssaaaattttdddd((((1111MMMM))))
  5.  
  6.  
  7.  
  8. NNNNAAAAMMMMEEEE
  9.      satd - reliably save the system audit trail
  10.  
  11. SSSSYYYYNNNNOOOOPPPPSSSSIIIISSSS
  12.      ssssaaaattttdddd [ ----iiiioooovvvvyyyy1111 ] [ ----ffff path ... ] [ ----rrrr replacement-mode ] [ ----ssss file-size ]
  13.      [ ----pppp percent-warn] [ ----tttt replacement-percent]
  14.  
  15. DDDDEEEESSSSCCCCRRRRIIIIPPPPTTTTIIIIOOOONNNN
  16.      _s_a_t_d saves its input data in the directories and/or files named in its
  17.      path arguments.
  18.  
  19.      When one output path becomes full or the specified replacement percentage
  20.      has been reached, _s_a_t_d replaces the current output path with a path that
  21.      is not full.  The method of replacement is configurable with the ----rrrr
  22.      option.  The output path is also replaced if _s_a_t_d receives a SSSSIIIIGGGGHHHHUUUUPPPP
  23.      signal, for instance one sent with a kkkkiiiillllllll ----1111 command.
  24.  
  25.      If an output path becomes 90% (or the percent specified with the ----pppp
  26.      option) full, warnings are displayed to the system console to notify the
  27.      administrator to move the audit trail to tape.  If all of the output
  28.      paths become completely full, the system state is changed to single-user
  29.      mode after a very short grace period.  During the grace period, _s_a_t_d
  30.      writes its records to /_s_a_t/_s_a_t_d._e_m_e_r_g_e_n_c_y-<_n>, where <_n> is an integer
  31.      that is incremented for each file created.  The system uses the file
  32.      /_s_a_t/_s_a_t_d._r_e_s_e_r_v_e to maintain space for the emergency files.
  33.  
  34.      See _a_u_d_i_t(1M) or the _I_R_I_X _A_d_m_i_n: _B_a_c_k_u_p, _S_e_c_u_r_i_t_y, _a_n_d _A_c_c_o_u_n_t_i_n_g guide
  35.      for more information on configuring the audit subsystem.
  36.  
  37. OOOOPPPPTTTTIIIIOOOONNNNSSSS
  38.      ----ffff _p_a_t_h
  39.           Specify an output path, which can be a directory or a file.  If the
  40.           output path is a directory, _s_a_t_d creates and fills uniquely named
  41.           files under that directory.  (Files are named for the time of their
  42.           creation.  For instance, file _s_a_t__1_9_9_1_0_1_2_3_1_6_3_6 or _s_a_t__9_1_0_1_2_3_1_6_3_6 (if
  43.           ----yyyy option has been specified) was created in 1991, on January 23 at
  44.           4:36 p.m.)  If the output path is a file, _s_a_t_d writes to that file.
  45.           If at any time _s_a_t_d receives a SSSSIIIIGGGGHHHHUUUUPPPP signal, _s_a_t_d will stop writing
  46.           to the current file and create a new file with the new file name
  47.           incorporating the current time stamp.
  48.  
  49.           When specifying several output paths in the command line, precede
  50.           each one with a ----ffff (as in example 1) or put commas (but no white
  51.           space) between each pathname.  Taken together, all of the output
  52.           paths specified in the command line are known as the _p_a_t_h _l_i_s_t.
  53.  
  54.           If no output paths are specified and the ----oooo option is not specified,
  55.           the audit trail records are not saved anywhere, and the system is
  56.           halted.
  57.  
  58.  
  59.  
  60.  
  61.  
  62.  
  63.                                                                         PPPPaaaaggggeeee 1111
  64.  
  65.  
  66.  
  67.  
  68.  
  69.  
  70. ssssaaaattttdddd((((1111MMMM))))                                                              ssssaaaattttdddd((((1111MMMM))))
  71.  
  72.  
  73.  
  74.           If a path given as a command line parameter is invalid for any
  75.           reason, a warning is printed, that path is omitted from the path
  76.           list, and _s_a_t_d continues operating with whatever specified paths are
  77.           valid.
  78.  
  79.           If the specified path does not already exist, _s_a_t_d creates a file
  80.           with that name.
  81.  
  82.           A file or directory is full when the filesystem on which it resides
  83.           has no more available space.  If a directory is specified as an
  84.           output path, an audit file is constructed under that directory.
  85.           When the audit file is filled to a specified maximum size, it is
  86.           closed and a new audit file is created under that directory.
  87.  
  88.      ----iiii   Input audit records from standard input instead of obtaining them
  89.           from the kernel audit subsystem.
  90.  
  91.      ----oooo   Output audit records to standard output as well as to the output
  92.           paths specified with the ----ffff option.  Use this option to pipe the
  93.           audit trail to audit tools from _s_a_t_d.
  94.  
  95.           If the ----oooo option is given in the command line, and no output paths
  96.           are specified, the audit trail is copied to standard output, but it
  97.           is not saved to a mass storage device.  If the ----oooo option is absent
  98.           from the command line, and no output paths are specified, _s_a_t_d takes
  99.           records from the kernel audit subsystem, but discards them unused.
  100.  
  101.      ----pppp _p_e_r_c_e_n_t-_w_a_r_n
  102.           Warnings are displayed to the console when the output path is this
  103.           full. Specify an integer in the range of 1 to 100. Default is 90.
  104.  
  105.      ----rrrr _r_e_p_l_a_c_e_m_e_n_t-_m_o_d_e
  106.           The replacement mode can be either pppprrrreeeeffffeeeerrrreeeennnncccceeee, rrrroooottttaaaattttiiiioooonnnn, or oooonnnneeeeppppaaaassssssss.
  107.           The default replacement mode is pppprrrreeeeffffeeeerrrreeeennnncccceeee.  If the replacement mode
  108.           option appears more than once in the command line, _s_a_t_d prints an
  109.           error message and exits.
  110.  
  111.           If the replacement mode is rrrroooottttaaaattttiiiioooonnnn, _s_a_t_d replaces output paths in a
  112.           circular order.  When the current output path is full, _s_a_t_d writes
  113.           records to the next path in the list.  When the last output path is
  114.           full, _s_a_t_d writes records to the first path again.  If at any time
  115.           _s_a_t_d receives a SSSSIIIIGGGGHHHHUUUUPPPP signal, _s_a_t_d replaces the current output path
  116.           with the next path in the order of rotation.
  117.  
  118.           If the replacement mode is pppprrrreeeeffffeeeerrrreeeennnncccceeee, _s_a_t_d always uses the
  119.           available output path closest to the beginning of the path list.
  120.           When the current output path is full, _s_a_t_d tries to write records to
  121.           the first path again.  _s_a_t_d only writes records to a path if all of
  122.           the paths preceding it in the list are full.  If at any time _s_a_t_d
  123.           receives a SSSSIIIIGGGGHHHHUUUUPPPP signal, _s_a_t_d replaces the current output path with
  124.           the next path in the order of preference.
  125.  
  126.  
  127.  
  128.  
  129.                                                                         PPPPaaaaggggeeee 2222
  130.  
  131.  
  132.  
  133.  
  134.  
  135.  
  136. ssssaaaattttdddd((((1111MMMM))))                                                              ssssaaaattttdddd((((1111MMMM))))
  137.  
  138.  
  139.  
  140.           If the replacement mode is oooonnnneeeeppppaaaassssssss, _s_a_t_d replaces output paths in a
  141.           linear order.  It uses the output paths in the order they are
  142.           specified in the command line.  If a SSSSIIIIGGGGHHHHUUUUPPPP signal is sent to _s_a_t_d
  143.           before the end of the path list is reached, _s_a_t_d starts again from
  144.           the beginning of the list.  If _s_a_t_d reaches the end of the path list
  145.           before receiving a SSSSIIIIGGGGHHHHUUUUPPPP signal, it halts the system immediately.
  146.  
  147.      ----ssss _f_i_l_e-_s_i_z_e
  148.           The size of the audit file in Kilobytes can be specified to be
  149.           greater than the default of 4 Megabytes.  For example ----ssss 5555000000000000
  150.           specifies a maximum audit file size of 5 Megabytes.
  151.  
  152.      ----tttt _r_e_p_l_a_c_e_m_e_n_t-_p_e_r_c_e_n_t
  153.           when the specified percentage of fullness has been reached. _s_a_t_d
  154.           replaces the current output path with a path that is not full.
  155.           Specify an integer in the range of 1 to 100. Default is 100.
  156.  
  157.      ----vvvv   Verbose indications of activity are printed to standard error.
  158.  
  159.      ----yyyy   Use a two-digit-year (sat_YYDDMMhhmm) for _s_a_t_d output files.
  160.           Default _s_a_t_d output files are in four-digit-year file format
  161.           (sat_YYYYDDMMhhmm).
  162.  
  163.      ----1111   Input data is consumed until the first time a _s_a_t_r_e_a_d system call
  164.           returns with less data read than requested.  When the first partial
  165.           buffer is read, _s_a_t_d exits.  The ----1111 option is used in debug and
  166.           testing to flush the kernel audit buffers.
  167.  
  168. FFFFIIIILLLLEEEESSSS
  169.      /sat/satd.emergency-0        "emergency" audit file, -0 through -9
  170.      /sat/satd.reserve            file to reserve 250,000 bytes for above
  171.      /etc/init.d/audit            system audit startup script
  172.      /etc/config/audit            configuration file, oooonnnn if auditing is enabled
  173.      /etc/config/satd.options     optional file for site-dependent satd options
  174.      /var/adm/sat                 default directory, specified in
  175.                                   /_e_t_c/_i_n_i_t._d/_a_u_d_i_t
  176.  
  177. DDDDIIIIAAAAGGGGNNNNOOOOSSSSTTTTIIIICCCCSSSS
  178.      satd - ignoring path <_p_a_t_h_n_a_m_e>
  179.           The specified output path doesn't exist or is not usable.  _s_a_t_d
  180.           ignores it and trying the next entry in the path list.
  181.  
  182.      path is neither directory, nor disk file
  183.           The specified output path can't be used because it isn't one of the
  184.           object types understood by _s_a_t_d.  _s_a_t_d ignores the path and tries
  185.           the next entry in the path list.
  186.  
  187.      Onepass path search complete
  188.           All the entries in the output path have been used.  Since _s_a_t_d has
  189.           nowhere to put its audit records, it exits.
  190.  
  191.  
  192.  
  193.  
  194.  
  195.                                                                         PPPPaaaaggggeeee 3333
  196.  
  197.  
  198.  
  199.  
  200.  
  201.  
  202. ssssaaaattttdddd((((1111MMMM))))                                                              ssssaaaattttdddd((((1111MMMM))))
  203.  
  204.  
  205.  
  206.      Preference path search fails
  207.           None of the entries in the output path are available for use.  Since
  208.           _s_a_t_d has nowhere to put its audit records, it exits.
  209.  
  210.      Rotation path search fails
  211.           None of the entries in the output path are available for use.  Since
  212.           _s_a_t_d has nowhere to put its audit records, it exits.
  213.  
  214.      can't fstatfs <_p_a_t_h_n_a_m_e>
  215.           The specified output path doesn't exist or is in an unreadable
  216.           directory.  _s_a_t_d ignores it and tries the next entry in the path
  217.           list.
  218.  
  219.      path N percent full
  220.           The auditor is advised to prepare to move the output file to
  221.           permanent storage, because the output path will become full soon.
  222.  
  223.      can't open <_p_a_t_h_n_a_m_e>
  224.           The specified output path can't be opened for write access, either
  225.           because it doesn't exist, or because it has restrictive permissions.
  226.  
  227.      opening path <_p_a_t_h_n_a_m_e>
  228.           The specified output path is being opened for use.  This message is
  229.           only seen if _s_a_t_d was invoked with the ----vvvv option (verbose mode).
  230.  
  231.      closing directory file <_p_a_t_h_n_a_m_e>
  232.           The filenamed in this message is being closed.  If room remains in
  233.           the filesystem, a new file is opened in the same directory.  The
  234.           auditor is advised to move the output file to permanent storage.
  235.  
  236.      null path pointer
  237.           An internal error has been encountered in _s_a_t_d.
  238.  
  239.      opened full path <_p_a_t_h_n_a_m_e>
  240.           The specified output path was opened, but it cannot be written
  241.           because there is no space on the device.  It is closed, and the next
  242.           entry in the path list is tried.
  243.  
  244.      Valid directory path but can't open file
  245.           An internal error has been encountered in _s_a_t_d.
  246.  
  247.      satd - sighup received
  248.           A SSSSIIIIGGGGHHHHUUUUPPPP signal was caught, informing _s_a_t_d to replace the current
  249.           output path with another path from the list.  The new path is chosen
  250.           in accordance with the replacement strategy specified by the auditor
  251.           with the ----rrrr command line option.  This message is only seen if _s_a_t_d
  252.           was invoked with the ----vvvv option (verbose mode).
  253.  
  254.      satd - X asked but Y written
  255.           Although _s_a_t_d tried to write X bytes of data, it succeeded in
  256.           writing only Y bytes.
  257.  
  258.  
  259.  
  260.  
  261.                                                                         PPPPaaaaggggeeee 4444
  262.  
  263.  
  264.  
  265.  
  266.  
  267.  
  268. ssssaaaattttdddd((((1111MMMM))))                                                              ssssaaaattttdddd((((1111MMMM))))
  269.  
  270.  
  271.  
  272.      Only use one replacement strategy at a time
  273.           More than one ----rrrr option was provided as a command line option.  The
  274.           three replacement strategies (onepass, preference, and rotation) are
  275.           mutually exclusive.  Reinvoke _s_a_t_d with consistent command line
  276.           arguments.
  277.  
  278.      Can't read sat buffer
  279.           Audit records can't be obtained from the kernel sat subsystem,
  280.           probably due to insufficient privilege or access rights.
  281.  
  282.      Can't write sat buffer
  283.           Even though _s_a_t_d was invoked with the ----oooo command line option, it
  284.           cannot write audit records to standard output.
  285.  
  286.      Can't send sat buffer
  287.           Even though the output path has been opened successfully and is not
  288.           full, _s_a_t_d cannot write audit records to the path.
  289.  
  290. SSSSEEEEEEEE AAAALLLLSSSSOOOO
  291.      kill(1), mkdir(1), mknod(1M), sat_interpret(1M), sat_reduce(1M),
  292.      sat_select(1M), sat_summarize(1M), satread(2).
  293.  
  294.  
  295.  
  296.  
  297.  
  298.  
  299.  
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.                                                                         PPPPaaaaggggeeee 5555
  328.  
  329.  
  330.  
  331.