了解审计策略 - Oracle Solaris 管理：安全服务

跳过导航链接
退出打印视图
	Oracle Solaris 管理：安全服务 Oracle Solaris 11 Information Library (简体中文)

第 1 部分安全性概述

1. 安全性服务（概述）

第 2 部分系统、文件和设备安全性

2. 管理计算机安全性（概述）

3. 控制对系统的访问（任务）

4. 病毒扫描服务（任务）

5. 控制对设备的访问（任务）

6. 使用基本审计报告工具（任务）

7. 控制对文件的访问（任务）

第 3 部分角色、权限配置文件和特权

8. 使用角色和特权（概述）

9. 使用基于角色的访问控制（任务）

10. Oracle Solaris 中的安全属性（参考）

第 4 部分加密服务

11. 加密框架（概述）

12. 加密框架（任务）

13. 密钥管理框架

第 5 部分验证服务和安全通信

14. 网络服务验证（任务）

16. 使用 SASL

17. 使用安全 Shell（任务）

18. 安全 Shell（参考）

第 6 部分Kerberos 服务

19. Kerberos 服务介绍

20. 规划 Kerberos 服务

21. 配置 Kerberos 服务（任务）

22. Kerberos 错误消息和故障排除

23. 管理 Kerberos 主体和策略（任务）

24. 使用 Kerberos 应用程序（任务）

25. Kerberos 服务（参考）

第 7 部分在 Oracle Solaris 中审计

26. 审计（概述）

27. 规划审计

规划审计（任务）

如何规划区域中的审计

如何规划审计记录的存储

如何规划要审计的对象及内容

了解审计策略

控制审计成本

延长审计数据处理时间产生的成本

分析审计数据产生的成本

存储审计数据产生的成本

28. 管理审计（任务）

29. 审计（参考）

了解审计策略

审计策略确定本地系统审计记录的特征。可以使用 auditconfig 命令设置这些策略。有关更多信息，请参见 auditconfig(1M) 手册页。

缺省情况下，会禁用大多数审计策略选项以最大程度地减少存储需求和系统处理需求。这些选项是审计服务的属性，并确定在系统引导时生效的策略。有关更多信息，请参见 auditconfig(1M) 手册页。

参考下表确定启用一个或多个审计策略选项而造成的额外开销是否与站点的需求相适应。

表 27-1 审计策略选项的影响

Policy Name（策略名称）	说明	更改策略选项的原因
`ahlt`	该策略仅适用于异步事件。禁用后，该策略允许在不生成审计记录的情况下完成事件。启用后，该策略会在审计队列已满时停止系统。需要管理干预才能清除审计队列、为审计记录提供空间，以及重新引导系统。只能在全局区域中启用该策略。该策略影响所有区域。	当系统可用性比安全性更重要时，适合禁用该选项。在安全性极为重要的环境中，适合启用该选项。有关更全面的介绍，请参见同步事件和异步事件的审计策略。
`arge`	禁用后，该策略将省略 `execve` 审计记录中已执行程序的环境变量。启用后，该策略会将已执行程序的环境变量添加到 `execve` 审计记录。与禁用该策略的情况相比，生成的审计记录包含的详细信息要多得多。	与启用该选项的情况相比，禁用该选项后收集的信息要少很多。有关比较，请参见如何审计用户执行的所有命令。审计许多用户时，适合启用该选项。怀疑 `ex` 审计类的程序中使用的环境变量有问题时，也可以使用此选项。
`argv`	禁用后，该策略将省略 `execve` 审计记录中已执行程序的参数。启用后，该策略会将已执行程序的参数添加到 `execve` 审计记录。与禁用该策略的情况相比，生成的审计记录包含的详细信息要多得多。	与启用该选项的情况相比，禁用该选项后收集的信息要少很多。有关比较，请参见如何审计用户执行的所有命令。审计许多用户时，适合启用该选项。如果您有理由确信 `ex` 审计类中的异常程序正在运行，也可以使用此选项。
`cnt`	禁用后，该策略将阻止用户或应用程序运行。由于审计队列已满而导致审计记录无法添加到审计迹时，会发生阻止。启用后，该策略允许在不生成审计记录的情况下完成事件。该策略将保留丢弃的审计记录数。	在安全性极为重要的环境中，适合禁用该选项。当系统可用性比安全性更重要时，适合启用该选项。有关更全面的介绍，请参见同步事件和异步事件的审计策略。
`group`	禁用后，该策略不会在审计记录中添加组列表。启用后，该策略会在每条审计记录中添加组列表作为特殊标记。	禁用该选项通常可以满足站点的安全要求。当您需要审计主题所属的补充组时，启用该选项很有用。
`path`	禁用后，该策略会在每条审计记录中最多记录一条在系统调用期间使用的路径。启用后，该策略会将与审计事件结合使用的每条路径记录到每条审计记录中。	禁用该选项最多在审计记录中放置一条路径。启用该选项会将系统调用期间使用的每个文件名或路径输入到审计记录中，作为 `path` 标记。
`perzone`	禁用后，该策略针对每个系统只维护一个审计配置。全局区域中运行一个审计服务。如果预选 `zonename` 审计标记，可在审计记录中找到特定区域中的审计事件。启用后，该策略会为每个区域维护单独的审计配置、审计队列和审计日志。审计服务运行在各个区域中。只能在全局区域中启用该策略。	当您没有特殊理由为每个区域维护单独的审计日志、队列和守护进程时，禁用该选项很有用。当仅通过检查带有 `zonename` 审计标记的审计记录无法有效监视系统时，启用该选项很有用。
`public`	禁用后，如果预选了文件读取，则该策略不会将公共对象的只读事件添加到审计迹。包含只读事件的审计类包括 `fr`、`fa` 和 `cl`。启用后，如果预选了适当的审计类，则该策略会记录公共对象的每个只读审计事件。	禁用该选项通常可以满足站点的安全要求。启用该选项的作用很小。
`seq`	禁用后，该策略不会将序列号添加到每条审计记录中。启用后，该策略会将序列号添加到每条审计记录中。`sequence` 标记保留序列号。	当审计顺利进行时，禁用该选项便足以满足要求。启用 `cnt` 策略后，适合启用该选项。使用 `seq` 策略可以确定废弃数据的时间。或者，可以使用 `auditstat` 命令查看丢弃的记录。
`trail`	禁用后，该策略不会将 `trailer` 标记添加到审计记录中。启用后，该策略会将 `trailer` 标记添加到每条审计记录中。	禁用该选项会创建一条较小的审计记录。启用该选项会使用 `trailer` 标记清楚地标记每条审计记录的末尾。`trailer` 标记经常与 `sequence` 标记结合使用。使用 `trailer` 标记有助于恢复损坏的审计迹。
`zonename`	禁用后，该策略不会在审计记录中包括 `zonename` 标记。启用后，该策略会在每条审计记录中包括 `zonename` 标记。	无需跟踪各个区域中的审计行为时，禁用该选项很有用。要通过根据区域后选记录来分离和比较各个区域中的审计行为时，启用该选项很有用。

版权所有 © 2002, 2012, Oracle 和/或其附属公司。保留所有权利。法律声明

上一页

下一页