Activation et désactivation du service d'audit (tâches)

Le service d'audit est activé par défaut et configuré par la commande auditconfig. Si la stratégie d'audit perzone est définie dans la zone globale, les administrateurs de zone peuvent activer, actualiser et désactiver le service dans leurs zones non globales.

Procédure d'actualisation du service d'audit

Cette procédure met à jour le service d'audit lorsque vous avez modifié la configuration d'un plug-in d'audit après l'activation du service d'audit.

Avant de commencer

Le profil de droits Audit Control (contrôle d'audit) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Actualisez le service d'audit.
```
# audit -s
```
Remarque - Lors de l'actualisation du service d'audit, tous les paramètres de configuration temporaires sont perdus. La stratégie d'audit et les contrôles de file d'attente permettent de définir des paramètres temporaires. Pour plus d'informations, reportez-vous à la page de manuel auditconfig(1M).
Mettez à jour les masques de présélection des utilisateurs qui sont audités.
Les enregistrements d'audit sont générés en fonction du masque de présélection d'audit associé à chaque processus. L'actualisation du service d'audit ne modifie pas les masques de processus existants. Pour réinitialiser explicitement le masque de présélection pour un processus existant, reportez-vous à la section Procédure de mise à jour du masque de présélection des utilisateurs connectés.

Exemple 28-22 Actualisation d'un service d'audit activé

Dans cet exemple, l'administrateur reconfigure l'audit, vérifie les modifications, puis actualise le service d'audit.

Tout d'abord, l'administrateur ajoute une stratégie temporaire.

# auditconfig -t -setpolicy +zonename
# auditconfig -getpolicy
configured audit policies = ahlt,arge,argv,perzone
active audit policies = ahlt,arge,argv,perzone,zonename

Ensuite, l'administrateur spécifie les contrôles de file d'attente.

# auditconfig -setqctrl 200 20 0 0
# auditconfig -getqctrl
configured audit queue hiwater mark (records) = 200
configured audit queue lowater mark (records) = 20
configured audit queue buffer size (bytes) = 8192
configured audit queue delay (ticks) = 20
active audit queue hiwater mark (records) = 200
active audit queue lowater mark (records) = 20
active audit queue buffer size (bytes) = 8192
active audit queue delay (ticks) = 20

Ensuite, l'administrateur spécifie les attributs de plug-in.

Pour le plug-in audit_binfile, l'administrateur supprime la valeur qsize.

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
    Attributes: p_dir=/audit/sys1.1,/var/audit;
    p_minfree=2;p_fsize=4G;
Queue size: 200 
# auditconfig -setplugin audit_binfile active "" ""
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
    Attributes: p_dir=/audit/sys1.1,/var/audit
 p_minfree=2;p_fsize=4G;

Les derniers guillemets vides ("") définissent la taille de la file d'attente pour le plug-in sur la valeur par défaut.

Pour le plug-in audit_syslog, l'administrateur indique l'envoi des événements de connexion et de déconnexion et des exécutables qui ont échoué à syslog. La valeur de l'attribut qsize pour ce plug-in est définie sur 50.

# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 50
# auditconfig -getplugin audit_syslog
auditconfig -getplugin audit_syslog
Plugin: audit_syslog (active)
    Attributes: p_flags=+lo,-ex;
    Queue size: 50

L'administrateur ne configure pas ou n'utilise pas le plug-in audit_remote .

Ensuite, l'administrateur actualise le service d'audit et vérifie la configuration.

La stratégie temporaire zonename n'est plus définie.

# audit -s
# auditconfig -getpolicy
configured audit policies = ahlt,arge,argv,perzone
active audit policies = ahlt,arge,argv,perzone

Les contrôles de file d'attente restent identiques.

# auditconfig -getqctrl
configured audit queue hiwater mark (records) = 200
configured audit queue lowater mark (records) = 20
configured audit queue buffer size (bytes) = 8192
configured audit queue delay (ticks) = 20
active audit queue hiwater mark (records) = 200
active audit queue lowater mark (records) = 20
active audit queue buffer size (bytes) = 8192
active audit queue delay (ticks) = 20

Le plug-in audit_binfile n'a pas une taille de file d'attente spécifiée. Le plug-in audit_syslog a une taille de file d'attente spécifiée.

# auditconfig -getplugin
Plugin: audit_binfile (active)
    Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;

Plugin: audit_syslog (active)
    Attributes: p_flags=+lo,-ex;
    Queue size: 50 
...

Procédure de désactivation du service d'audit

Cette procédure montre comment désactiver l'audit dans la zone globale et dans une zone non globale lorsque la stratégie d'audit perzone est définie.

Si la stratégie d'audit perzone n'est pas définie, l'audit est désactivé pour toutes les zones.
Si la stratégie d'audit perzone est définie dans la zone globale, elle reste en vigueur dans les zones non globales qui ont activé l'audit.

Dans la mesure où la stratégie perzone est définie dans la zone globale, la zone non globale continue à collecter les enregistrements d'audit pour toutes les réinitialisations de la zone globale et des zones non globales.

Avant de commencer

Le profil de droits Audit Control (contrôle d'audit) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Exécutez la commande audit -t pour désactiver le service d'audit.
Pour plus d'informations, reportez-vous aux pages de manuel audit(1M) et auditd(1M).
- Dans la zone globale, désactivez le service d'audit.
```
# audit -t
```
  Si la stratégie d'audit perzone n'est pas définie, cette commande désactive l'audit dans toutes les zones.
- Dans une zone non globale, désactivez le service d'audit.
  Si la stratégie d'audit perzone est définie, l'administrateur de zone non globale doit désactiver le service dans la zone non globale.
```
zone1 # audit -t
```

Procédure d'activation du service d'audit

Cette procédure permet d'activer le service d'audit pour toutes les zones une fois le service désactivé par l'administrateur. Pour démarrer le service d'audit dans une zone non globale, reportez-vous à l'Exemple 28-23.

Avant de commencer

Pour activer ou désactiver le service d'audit, vous devez disposer du profil de droits Audit Control (contrôle d'audit).

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Utilisez la commande audit -s pour activer le service d'audit.
```
# audit -s
```
Pour plus d'informations, reportez-vous à la page de manuel audit(1M).

Vérifiez que l'audit est activé.

# auditconfig -getcond
audit condition = auditing

Exemple 28-23 Activation de l'audit dans une zone non globale

Dans cet exemple, l'administrateur de zone active le service d'audit pour zone1 après avoir exécuté les actions suivantes :

L'administrateur de la zone globale définit la stratégie perzone dans la zone globale.
L'administrateur de la zone non globale configure le service d'audit et les personnalisations par utilisateur.

Ensuite, l'administrateur de zone active le service d'audit pour la zone.

zone1# audit -s

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français)