使用 catauditlog 命令可显示审计日志的内存中内容。
此命令会列出指定数量的最近审计的命令。
使用此命令可显示内存中审计日志。 使用 dumpauditlog 命令手动将内存中审计日志的内容转储到当前配置节点上的文件,并且清除内存中审计日志的内容
审计日志的内存中部分保存大约 1 MB 的审计信息。根据命令文本大小和参数的数量,这相当于 1 MB 记录或大约 6000 条命令。
内存中审计日志达到其最大容量后,该日志会立即写入配置节点上 /dumps/audit 目录的本地文件中。catauditlog 命令仅显示审计日志的内存中部分;审计日志的磁盘上部分为可读文本格式,无需任何特殊命令对其进行解码。
内存中日志条目会自动重置和清除,从而准备好开始累计新命令。 然后,可在以后某个日期分析审计日志的磁盘上部分。
带有 -prefix 参数(和 /dumps/audit 文件)的 lsdumps 命令可用于列出磁盘上的文件。
执行命令时,会将这些命令记录在内存中审计日志内。 内存中审计日志变满后,将自动转储到一个审计日志文件,然后将清空内存中审计日志。
此示例列出最近的五个审计日志条目。
catauditlog -delim : -first 5
生成的输出:
audit_seq_no timestamp cluster_user challenge source_panel target_panel ssh_ip_address result res_obj_id action_cmd 0 160313152255 superuser 7830619-2 7830619-2 0 0 satask restartservice -service tomcat 1 160313152303 superuser 01-2 01-1 9.174.187.11 0 0 satask chnodeled -on 01-1 2 160313152312 superuser 01-1 01-2 9.174.187.11 0 0 satask chnodeled -on 01-2 3 160313152314 superuser 01-1 01-1 9.174.187.11 0 0 satask chnodeled -on 4 160313152316 superuser 9.174.187.11 0 0 svctask chenclosure -managed yes 1 5 160313152349 superuser 9.174.187.11 0 0 svctask mkmdiskgrp -ext 256 6 160313152352 superuser 9.174.187.11 0 0 svctask mkarray -level raid5 -drive 3:4:5 0