twprint -m rコマンドは、Tripwireレポートの内容を読みやすいテキストで表示します。 どのレポートファイルを表示するかを、twprintに指定する必要があります。
twprintコマンドでTripwireレポートを表示するは、次のように(すべて1行で)入力します。
/usr/sbin/twprint -m r --twrfile /var/lib/tripwire/report/ <name> .twr |
-m rオプションで、レポートをデコードするよう指定しています。 --twrfileオプションで、使用するレポートファイルを指定しています。
レポートの名前は、レポートの作成時にTripwireがチェックしたホスト名と作成日時で構成されます。 過去に保存されたレポートはいつでも表示できます。 レポートの一覧を表示するには、ls /var/lib/tripwire/reportと入力します。
見つかった違反や生成されたエラーの数によっては、レポートはかなり長くなります。 レポートの最初の部分は、次のようになります。
Tripwire(R) 2.3.0 Integrity Check Report Report generated by:root Report created on:Fri Jan 12 04:04:42 2001 Database last updated on: Tue Jan9 16:19:34 2001 ======================================================================= Report Summary: ======================================================================= Host name:some.host.com Host IP address:10.0.0.1 Host ID:None Policy file used: /etc/tripwire/tw.pol Configuration file used:/etc/tripwire/tw.cfg Database file used: /var/lib/tripwire/some.host.com.twd Command line used:/usr/sbin/tripwire --check ======================================================================= Rule Summary: ======================================================================= ----------------------------------------------------------------------- Section: Unix File System ----------------------------------------------------------------------- Rule NameSeverity LevelAddedRemovedModified ------------------------------------------- Invariant Directories69000 Temporary directories33000 * Tripwire Data Files100 100 Critical devices 100 000 User binaries69000 Tripwire Binaries100 000 |
twprintを使用して、Tripwireデータベース全体やデータベース内の選択したファイルに関する情報を表示することもできます。 これにより、システム上のどれくらいの情報をTripwireが追跡しているかを確認できます。
Tripwireデータベース全体を表示するには、次のコマンドを入力します。
/usr/sbin/twprint -m d --print-dbfile | less |
このコマンドを実行すると膨大な量のデータが出力されます。以下の出力例は、そのうちのごく最初の部分です。
Tripwire(R) 2.3.0 Database Database generated by:root Database generated on:Tue Jan9 13:56:42 2001 Database last updated on: Tue Jan9 16:19:34 2001 ================================================================= Database Summary: ================================================================= Host name:some.host.com Host IP address:10.0.0.1 Host ID:None Policy file used: /etc/tripwire/tw.pol Configuration file used:/etc/tripwire/tw.cfg Database file used: /var/lib/tripwire/some.host.com.twd Command line used:/usr/sbin/tripwire --init ================================================================= Object Summary: ================================================================= ----------------------------------------------------------------- # Section: Unix File System ----------------------------------------------------------------- ModeUIDSize Modify Time ---------------- ---------- ---------- / drwxr-xr-xroot (0) XXXXXXXXXXXXXXXXXXXX /bin drwxr-xr-xroot (0) 4096 Mon Jan8 08:20:45 2001 /bin/arch -rwxr-xr-xroot (0) 2844 Tue Dec 12 05:51:35 2000 /bin/ash -rwxr-xr-xroot (0) 64860Thu Dec7 22:35:05 2000 /bin/ash.static -rwxr-xr-xroot (0) 405576 Thu Dec7 22:35:05 2000 |
Tripwireが追跡している特定のファイル(例:/etc/hosts)に関する情報を表示するには、次のように入力します。
/usr/sbin/twprint -m d --print-dbfile /etc/hosts |
このコマンドを実行すると、次のような出力が表示されます。
Object name:/etc/hosts Property: Value: ------------- ----------- Object Type Regular File Device Number 773 Inode Number216991 Mode-rw-r--r-- Num Links 1 UID root (0) GID root (0) |
その他のオプションについては、twprintのmanページを参照してください。