ゾーンごとの監査を構成する方法

この手順に従えば、個々のゾーン管理者が自身のゾーン内で監査サービスを制御できます。ポリシーオプションの完全な一覧については、auditconfig(1M) のマニュアルページを参照してください。

1. 大域ゾーンで監査を構成します。ただし、監査サービスは有効にしないでください。

   1. 「監査ファイルの構成 (作業マップ)」の作業を行います。

   2. 「監査サービスの構成と有効化 (作業マップ)」の作業を行います。ただし、次の点は例外になります。

      • perzone 監査ポリシーを追加してください。例については、例 30–18 を参照してください。

      • 監査サービスを有効にしないでください。監査サービスの有効化は、非大域ゾーンの監査の構成が完了したあとで行います。

2. 各非大域ゾーンで監査ファイルを構成します。

   ---

   注 –

   監査を無効にする予定の非大域ゾーンでは、この手順をスキップできます。監査を無効にするには、例 30–25 を参照してください。

   ---

   1. 「監査ファイルの構成 (作業マップ)」の作業を行います。

   2. 「監査サービスの構成と有効化 (作業マップ)」で説明した手順に従います。

   3. システム全体の監査設定は構成しないでください。

      具体的には、非大域ゾーンの audit_startup ファイルに perzone や ahlt ポリシーを追加しないでください。また、非大域ゾーンから bsmconv コマンドを実行しないでください。

   4. 使用するゾーンで監査を有効にします。

      監査の構成後に大域ゾーンをリブートすると、使用するゾーンの監査が自動的に有効になります。

      システムのリブート後に大域ゾーン管理者が perzone 監査ポリシーを有効にした場合、個々のゾーン管理者が監査の有効化を行う必要があります。詳細は、例 30–20 を参照してください。

3. 大域ゾーンで監査サービスを有効にします。

   手順については、「監査サービスを有効にする方法」を参照してください。

例 30–25 非大域ゾーンで監査を無効にする

この例は、大域ゾーンで perzone 監査ポリシーが設定されている場合に正しく機能します。noaudit ゾーンのゾーン管理者が、そのゾーンの監査を無効にします。この管理者は、監査を無効にするつもりであったため、監査構成ファイルを編集していませんでした。

noauditzone # svcadm disable svc:/system/auditd