Solaris 审计将在《系统管理指南:安全性服务》中的第 27 章 “Solaris 审计(概述)”进行介绍。有关与审计关联的区域注意事项,请参见以下各节:
审计记录用于介绍事件,例如登录到系统或写入文件。记录由作为审计数据集合的标记组成。使用 zonename 标记,可以配置 Solaris 审计来标识每个区域的审计事件。使用 zonename 标记,可以生成以下信息:
审计记录,使用生成记录的区域名称进行标记
特定区域的审计日志,全局管理员使此日志可用于区域管理员。
Solaris 审计跟踪在全局区域中配置。审计策略在全局区域中设置并应用于所有区域中的进程。审计记录可以使用发生事件的区域名称进行标记。要在审计记录中包括区域名称,必须在安装任何非全局区域之前编辑 /etc/security/audit_startup 文件。区域名称选择区分大小写。
要在全局区域中将审计配置为包括所有区域审计记录,请将以下行添加到 /etc/security/audit_startup 文件:
/usr/sbin/auditconfig -setpolicy +zonename |
以全局区域中全局管理员的身份执行 auditconfig 实用程序:
global# auditconfig -setpolicy +zonename |
有关其他信息,请参见 audit_startup(1M) 和 auditconfig(1M) 手册页以及《系统管理指南:安全性服务》中的“配置审计文件(任务列表)”。
安装了非全局区域之后,便可将全局区域中的 audit_control 文件和 audit_user 文件复制到此区域的 /etc/security 目录。这些文件可能需要进行修改以反映此区域的审计需求。
例如,可以将每个区域配置为以不同的方式审计某些用户。要按用户应用不同的预选条件,必须编辑 audit_control 和 audit_user 文件。如有必要,还可能需要修改非全局区域中的 audit_user 文件以反映区域的用户基础。由于可以针对审计用户以不同的方式配置每个区域,因此,audit_user 文件可能为空。
有关其他信息,请参见 audit_control(4) 和 audit_user(4) 手册页。
通过如在全局区域中配置审计中所述包括 zonename 标记,可以按区域对 Solaris 审计记录进行分类。然后,可以使用 auditreduce 命令收集来自不同区域的记录,从而为特定区域创建日志。
有关更多信息,请参见 audit_startup(1M) 和 auditreduce(1M) 手册页。