在区域中使用 Solaris 审计

Solaris 审计将在《系统管理指南：安全性服务》中的第 27  章 “Solaris 审计（概述）”进行介绍。有关与审计关联的区域注意事项，请参见以下各节：

• 《系统管理指南：安全性服务》中的第 28  章 “规划 Solaris 审计”

• 《系统管理指南：安全性服务》中的“审计和 Solaris Zones”

审计记录用于介绍事件，例如登录到系统或写入文件。记录由作为审计数据集合的标记组成。使用 zonename 标记，可以配置 Solaris 审计来标识每个区域的审计事件。使用 zonename 标记，可以生成以下信息：

• 审计记录，使用生成记录的区域名称进行标记

• 特定区域的审计日志，全局管理员使此日志可用于区域管理员。

在全局区域中配置审计

Solaris 审计跟踪在全局区域中配置。审计策略在全局区域中设置并应用于所有区域中的进程。审计记录可以使用发生事件的区域名称进行标记。要在审计记录中包括区域名称，必须在安装任何非全局区域之前编辑 /etc/security/audit_startup 文件。区域名称选择区分大小写。

要在全局区域中将审计配置为包括所有区域审计记录，请将以下行添加到 /etc/security/audit_startup 文件：

/usr/sbin/auditconfig -setpolicy +zonename

以全局区域中全局管理员的身份执行 auditconfig 实用程序：

global# auditconfig -setpolicy +zonename

有关其他信息，请参见 audit_startup(1M) 和 auditconfig(1M) 手册页以及《系统管理指南：安全性服务》中的“配置审计文件（任务列表）”。

在非全局区域中配置用户审计特征

安装了非全局区域之后，便可将全局区域中的 audit_control 文件和 audit_user 文件复制到此区域的 /etc/security 目录。这些文件可能需要进行修改以反映此区域的审计需求。

例如，可以将每个区域配置为以不同的方式审计某些用户。要按用户应用不同的预选条件，必须编辑 audit_control 和 audit_user 文件。如有必要，还可能需要修改非全局区域中的 audit_user 文件以反映区域的用户基础。由于可以针对审计用户以不同的方式配置每个区域，因此，audit_user 文件可能为空。

有关其他信息，请参见 audit_control(4) 和 audit_user(4) 手册页。

为特定的非全局区域提供审计记录

通过如在全局区域中配置审计中所述包括 zonename 标记，可以按区域对 Solaris 审计记录进行分类。然后，可以使用 auditreduce 命令收集来自不同区域的记录，从而为特定区域创建日志。

有关更多信息，请参见 audit_startup(1M) 和 auditreduce(1M) 手册页。