Habilitación y deshabilitación del servicio de auditoría (tareas)

El servicio de auditoría está habilitado de manera predeterminada y es configurado por el comando auditconfig. Si la política de auditoría perzone se configura en la zona global, los administradores de zonas pueden habilitar, refrescar y deshabilitar el servicio en sus zonas no globales.

Cómo refrescar el servicio de auditoría

Este procedimiento actualiza el servicio de auditoría cuando se haya cambiado la configuración de un complemento de auditoría después de habilitar el servicio de auditoría.

Antes de empezar

Debe tener asignado el perfil de derechos de control de auditoría.

Conviértase en administrador con los atributos de seguridad necesarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Refresque el servicio de auditoría.
```
# audit -s
```
Nota - Al refrescar el servicio de auditoría, toda la configuración temporal se pierde. La política de auditoría y los controles de colas permiten valores temporales. Para obtener más información, consulte la página del comando man auditconfig(1M).
Actualice las máscaras de preselección de los usuarios que se están auditando en ese momento.
Los registros de auditoría se generan sobre la base de la máscara de preselección de auditoría asociada con cada proceso. Refrescar el servicio de auditoría no cambia las máscaras de procesos existentes. Para restablecer explícitamente la máscara de preselección de un proceso existente, consulte Cómo actualizar la máscara de preselección de usuarios con sesión iniciada.

Ejemplo 28-22 Refrescamiento de un servicio de auditoría habilitado

En este ejemplo, el administrador reconfigura la auditoría, verifica los cambios y luego refresca el servicio de auditoría.

En primer lugar, el administrador agrega una política temporal.

# auditconfig -t -setpolicy +zonename
# auditconfig -getpolicy
configured audit policies = ahlt,arge,argv,perzone
active audit policies = ahlt,arge,argv,perzone,zonename

A continuación, el administrador especifica controles de colas.

# auditconfig -setqctrl 200 20 0 0
# auditconfig -getqctrl
configured audit queue hiwater mark (records) = 200
configured audit queue lowater mark (records) = 20
configured audit queue buffer size (bytes) = 8192
configured audit queue delay (ticks) = 20
active audit queue hiwater mark (records) = 200
active audit queue lowater mark (records) = 20
active audit queue buffer size (bytes) = 8192
active audit queue delay (ticks) = 20

A continuación, el administrador especifica atributos de complementos.

Para el complemento audit_binfile, el administrador elimina el valor qsize.

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
    Attributes: p_dir=/audit/sys1.1,/var/audit;
    p_minfree=2;p_fsize=4G;
Queue size: 200 
# auditconfig -setplugin audit_binfile active "" ""
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile (active)
    Attributes: p_dir=/audit/sys1.1,/var/audit
 p_minfree=2;p_fsize=4G;

Las comillas vacías finales ("") establecen el tamaño de la cola para el complemento en el valor predeterminado.

Para el complemento audit_syslog, el administrador especifica que los eventos de inicio y cierre de sesión con éxito y los archivos ejecutables con fallos se envíen a syslog. qsize para este complemento se defina en 50.

# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 50
# auditconfig -getplugin audit_syslog
auditconfig -getplugin audit_syslog
Plugin: audit_syslog (active)
    Attributes: p_flags=+lo,-ex;
    Queue size: 50

El administrador no configura ni usa el complemento audit_remote.

Luego, el administrador refresca el servicio de auditoría y verifica la configuración.

La política zonename temporal ya no está definida.

# audit -s
# auditconfig -getpolicy
configured audit policies = ahlt,arge,argv,perzone
active audit policies = ahlt,arge,argv,perzone

Los controles de colas permanecen igual.

# auditconfig -getqctrl
configured audit queue hiwater mark (records) = 200
configured audit queue lowater mark (records) = 20
configured audit queue buffer size (bytes) = 8192
configured audit queue delay (ticks) = 20
active audit queue hiwater mark (records) = 200
active audit queue lowater mark (records) = 20
active audit queue buffer size (bytes) = 8192
active audit queue delay (ticks) = 20

El complemento audit_binfile no tiene un tamaño de cola especificado. El complemento audit_syslog tiene un tamaño de cola especificado.

# auditconfig -getplugin
Plugin: audit_binfile (active)
    Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;

Plugin: audit_syslog (active)
    Attributes: p_flags=+lo,-ex;
    Queue size: 50 
...

Cómo deshabilitar el servicio de auditoría

Este procedimiento muestra cómo deshabilitar la auditoría en la zona global y en una zona no global cuando se configura la política de auditoría perzone.

Si la política de auditoría perzone no está definida, la auditoría está deshabilitada para todas las zonas.
Si la política de auditoría perzone está definida en la zona global, la política permanece en vigor en las zonas no globales donde la auditoría está habilitada.

Como la política perzone está definida en la zona global, la zona no global sigue recopilando registros de auditoría en los reinicios de la zona global y de la zona no global.

Antes de empezar

Debe tener asignado el perfil de derechos de control de auditoría.

Conviértase en administrador con los atributos de seguridad necesarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Ejecute el comando audit -t para deshabilitar el servicio de auditoría.
Para obtener más información, consulte las páginas del comando man audit(1M) y auditd(1M).
- En la zona global, deshabilite el servicio de auditoría.
```
# audit -t
```
  Si la política de auditoría perzone no está definida, este comando deshabilita la auditoría en todas las zonas.
- En una zona no global, deshabilite el servicio de auditoría.
  Si la política de auditoría perzone está definida, el administrador de zonas no globales debe deshabilitar el servicio en la zona no global.
```
zone1 # audit -t
```

Cómo habilitar el servicio de auditoría

Este procedimiento habilita el servicio de auditoría para todas las zonas después de que un administrador deshabilita el servicio. Para iniciar el servicio de auditoría en una zona no global, consulte el Ejemplo 28-23.

Antes de empezar

Para habilitar o deshabilitar el servicio de auditoría, debe tener asignado el perfil de derechos de control de auditoría.

Conviértase en administrador con los atributos de seguridad necesarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Use el comando audit -s para habilitar el servicio de auditoría.
```
# audit -s
```
Para obtener más información, consulte la página del comando man audit(1M).

Verifique que la auditoría esté habilitada.

# auditconfig -getcond
audit condition = auditing

Ejemplo 28-23 Habilitación de la auditoría en una zona no global

En este ejemplo, el administrador de zonas habilita el servicio de auditoría para zone1 después de realizar las siguientes acciones:

El administrador de zonas globales establece la política perzone en la zona global.
El administrador de zonas de la zona no global configura el servicio de auditoría y las personalizaciones por usuario.

A continuación, el administrador de zonas habilita el servicio de auditoría para la zona.

zone1# audit -s

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español)