启用和禁用审计服务（任务）

缺省情况下将启用审计服务。如果在全局区域中设置 perzone 审计策略，则区域管理员可以在其非全局区域中启用、刷新和禁用审计服务。

如何刷新审计服务

启用审计服务后，如果更改了审计插件的配置，此过程将更新审计服务。

开始之前

您必须是指定有 Audit Control（审计控制）权限配置文件的管理员。有关更多信息，请参见如何使用指定给您的管理权限。

1. 刷新审计服务。

   # audit -s

   ---

   注 - 刷新审计服务时，将丢失所有临时配置设置。审计策略和队列控制允许临时设置。有关更多信息，请参见 auditconfig(1M) 手册页。

   ---

2. 更新当前正在审计的用户的预选掩码。

   刷新审计服务不会更改现有进程的掩码。要显式重置现有进程的预选掩码，请参见如何更新已登录用户的预选掩码。

示例 28-25 刷新启用的审计服务

在本示例中，管理员重新配置审计、验证更改，然后刷新审计服务。

• 首先，管理员添加临时策略。

  # auditconfig -t -setpolicy +zonename
  # auditconfig -getpolicy
  configured audit policies = ahlt,arge,argv,perzone
  active audit policies = ahlt,arge,argv,perzone,zonename

• 然后，管理员指定队列控制。

  # auditconfig -setqctrl 200 20 0 0
  # auditconfig -getqctrl
  configured audit queue hiwater mark (records) = 200
  configured audit queue lowater mark (records) = 20
  configured audit queue buffer size (bytes) = 8192
  configured audit queue delay (ticks) = 20
  active audit queue hiwater mark (records) = 200
  active audit queue lowater mark (records) = 20
  active audit queue buffer size (bytes) = 8192
  active audit queue delay (ticks) = 20

• 随后，管理员指定插件属性。

  • 对于 audit_binfile 插件，管理员将删除 qsize 值。

    # auditconfig -getplugin audit_binfile
    Plugin: audit_binfile
        Attributes: p_dir=/audit/sys1.1,/var/audit;
        p_minfree=2;p_fsize=4G;
    Queue size: 200 
    # auditconfig -setplugin audit_binfile  "" 0
    # auditconfig -getplugin audit_binfile
    Plugin: audit_binfile
        Attributes: p_dir=/audit/sys1.1,/var/audit
     p_minfree=2;p_fsize=4G;

  • 对于 audit_syslog 插件，管理员将指定要发送到 syslog 的成功登录和注销事件以及失败的可执行文件。此插件的 qsize 设置为 150。

    # auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 150
    # auditconfig -getplugin audit_syslog
    auditconfig -getplugin audit_syslog
    Plugin: audit_syslog
        Attributes: p_flags=+lo,-ex;
        Queue size: 150

  • 管理员不配置也不使用 audit_remote 插件。

• 然后，管理员刷线审计服务并验证配置。

  • 不再设置临时 zonename 策略。

    # audit -s
    # auditconfig -getpolicy
    configured audit policies = ahlt,arge,argv,perzone
    active audit policies = ahlt,arge,argv,perzone

  • 队列控制保留原样。

    # auditconfig -getqctrl
    configured audit queue hiwater mark (records) = 200
    configured audit queue lowater mark (records) = 20
    configured audit queue buffer size (bytes) = 8192
    configured audit queue delay (ticks) = 20
    active audit queue hiwater mark (records) = 200
    active audit queue lowater mark (records) = 20
    active audit queue buffer size (bytes) = 8192
    active audit queue delay (ticks) = 20

  • audit_binfile 插件没有指定的队列大小。audit_syslog 插件具有指定的队列大小。

    # auditconfig -getplugin
    Plugin: audit_binfile
        Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
    
    Plugin: audit_syslog
        Attributes: p_flags=+lo,-ex;
        Queue size: 50 
    ...

如何禁用审计服务

本过程显示设置了 perzone 审计策略后如何在全局区域和非全局区域中禁用审计。在全局区域中设置了 perzone 策略后，已启用了审计的非全局区域将继续在全局区域重新引导和非全局区域重新引导时收集审计记录。

开始之前

要禁用或启用审计服务，您必须是指定有 Audit Control（审计控制）权限配置文件的管理员。有关更多信息，请参见如何使用指定给您的管理权限。

• 运行 audit -t 命令以禁用审计服务。

  有关更多信息，请参见 audit(1M) 和 auditd(1M) 手册页。

  • 在全局区域中，禁用审计服务。

    # audit -t

    如果没有设置 perzone 审计策略，此命令将禁用所有区域中的审计。如果设置了 perzone 审计策略，则非全局区域不受影响。

  • 在非全局区域中，禁用审计服务。

    如果设置了 perzone 审计策略，非全局区域管理员必须在非全局区域中禁用服务。

    zone1 # audit -t

如何启用审计服务

本过程在管理员禁用审计服务后为所有区域启用该服务。要在非全局区域中启动审计服务，请参见示例 28-26。

开始之前

要启用或禁用审计服务，您必须是指定有 Audit Control（审计控制）权限配置文件的管理员。有关更多信息，请参见如何使用指定给您的管理权限。

1. 使用 audit -s 命令启用审计服务。

   # audit -s

   有关更多信息，请参见 audit(1M) 手册页。

2. 验证是否已启用审计。

   # auditconfig -getcond
   audit condition = auditing

示例 28-26 在非全局区域中启用审计

在本示例中，区域管理员执行以下操作后，为 zone1 启用审计服务：

• 全局区域管理员在全局区域中设置 perzone 策略。

• 非全局区域的区域管理员配置审计服务和每用户定制。

然后，区域管理员为区域启用审计服务。

zone1# audit -s