Activación y utilización de auditoría

Logical Domains Manager utiliza la función de auditoría del SO Oracle Solaris para examinar el historial de acciones y eventos que han tenido lugar en el dominio de control. El historial se guarda en un registro de que lo se ha realizado, cuándo ha sido realizado, por quién y a qué ha afectado.

Puede habilitar e inhabilitar la función de auditoría según la versión del SO Oracle Solaris que se ejecute en el sistema, como se indica a continuación:

Sistema operativo Oracle Solaris 10. Utilice los comandos bsmconv y bsmunconv Consulte las páginas del comando man bsmconv(1M) y bsmunconv(1M), y la Parte VII, Audit Oracle Solaris de Guide d’administration système : services de sécurité.
Sistema operativo Oracle Solaris 11. Utilice el comando audit. Consulte la página del comando man audit(1M) y la Parte VII, Audit dans Oracle Solaris de Administration d’Oracle Solaris : services de sécurité.

Cómo activar la auditoría

Debe configurar y activar la función de auditoría de Oracle Solaris en el sistema. La función de auditoría del SO Oracle Solaris se utiliza para examinar el historial de acciones y eventos que han tenido lugar en el dominio de control. El historial se guarda en un registro de lo que se ha realizado, cuándo ha sido realizado, por quién y a qué ha afectado. La auditoría de Oracle Solaris 11 se activa de manera predeterminada, pero debe realizar algunos pasos de configuración.

Nota - Los procesos preexistentes no se auditan para la clase de software de virtualización (vs). Asegúrese de realizar este paso antes de que los usuarios comunes inicien sesión en el sistema.

Personalice los archivos /etc/security/audit_event y /etc/security/audit_class.
Estas personalizaciones se conservan en las actualizaciones de Oracle Solaris, pero deben volver a añadirse después de una instalación Oracle Solaris desde cero.
1. Añada la entrada siguiente al archivo audit_event, si todavía no está presente:
```
40700:AUE_ldoms:ldoms administration:vs
```
2. Añada la entrada siguiente al archivo audit_class, si todavía no está presente:
```
0x10000000:vs:virtualization_software
```
(Oracle Solaris 10) Agregue la clase vs al archivo /etc/security/audit_control.
El siguiente fragmento de ejemplo /etc/security/audit_control muestra cómo puede especificar la clase vs:
```
dir:/var/audit
flags:lo,vs
minfree:20
naflags:lo,na
```
(Oracle Solaris 10) Active la función de auditoría.
1. Ejecute el bsmconv comando.
```
# /etc/security/bsmconv
```
2. Reinicie el sistema.
(Oracle Solaris 11) Preseleccione la clase de auditoría vs.
1. Determine qué clases de auditoría ya se han seleccionado.
  Asegúrese de que las clases de auditoría que ya se han seleccionado formen parte del conjunto actualizado de clases. En el ejemplo siguiente se muestra que la clase lo ya se ha seleccionado:
```
# auditconfig -getflags
active user default audit flags = lo(0x1000,0x1000)
configured user default audit flags = lo(0x1000,0x1000)
```
2. Agregue la clase de auditoría vs.
```
# auditconfig -setflags [class],vs
```
  class es cero o más clases de auditoría separadas por comas. Puede visualizar la lista de clases de auditoría en el archivo /etc/security/audit_class. Es importante que incluya la clase vs en el sistema Oracle VM Server for SPARC.
  Por ejemplo, el siguiente comando selecciona las clases Io y vs:
```
# auditconfig -setflags lo,vs
```
3. (Opcional) Cierre la sesión del sistema si desea auditar los procesos, tanto como administrador o persona encargada de la configuración.
  Si no desea cerrar sesión, consulte Procédure de mise à jour du masque de présélection des utilisateurs connectés de Administration d’Oracle Solaris : services de sécurité.
Compruebe que el software de auditoría esté en ejecución.
```
# auditconfig -getcond
```
Si el software de auditoría se está ejecutando, aparecerá en el resultado audit condition = auditing.

Cómo desactivar la auditoría

Inhabilite la función de auditoría.

Inhabilite la función de auditoría en el sistema Oracle Solaris 10.

Ejecute el comando bsmunconv.

# /etc/security/bsmunconv
Are you sure you want to continue? [y/n] y
This script is used to disable the Basic Security Module (BSM).
Shall we continue the reversion to a non-BSM system now? [y/n] y
bsmunconv: INFO: removing c2audit:audit_load from /etc/system.
bsmunconv: INFO: stopping the cron daemon.

The Basic Security Module has been disabled.
Reboot this system now to come up without BSM.

Reinicie el sistema.

Desactive la función de auditoría en el sistema Oracle Solaris 11.
1. Ejecute el comando audit -t.
```
# audit -t
```
2. Compruebe que el software de auditoría ya no esté en ejecución.
```
# auditconfig -getcond
audit condition = noaudit
```

Cómo revisar los registros de auditoría

Utilice una de las siguientes opciones para revisar la salida de auditoría vs:
- Utilice los comando auditreduce y praudit para revisar la salida de auditoría.
```
# auditreduce -c vs | praudit
# auditreduce -c vs -a 20060502000000 | praudit
```
- Utilice el comando praudit -x para imprimir los registros de auditoría en formato XML.

Cómo rotar registros de auditoría

Use el comando audit -n para girar los registros de la auditoría.
Al rotar los registros de auditoría se cierra el archivo de auditoría actual y se abre uno nuevo en el directorio de auditoría actual.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración de Oracle VM Server for SPARC 2.2 Oracle VM Server for SPARC (Español)