/etc/security/audit_control 文件配置系统范围的审计。此文件可确定审计的事件,发出审计警告的时间,以及审计文件的位置。
承担主管理员角色,或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
(可选的)保存 audit_control 文件的副本。
# cp /etc/security/audit_control /etc/security/audit_control.orig |
修改站点的 audit_control 文件。
每一项都具有以下格式:
keyword:value |
定义行的类型。类型包括 dir、flags、minfree、naflags 和 plugin。dir 行可以重复。
有关关键字的说明,请参见以下示例。有关 plugin 项的示例,请参见如何配置 syslog 审计日志。
指定与行类型相关联的数据。
audit_control 文件中的 flags 行定义了针对系统上所有用户审计的可归属事件的类。这些类用逗号分隔。允许使用空格。在本示例中,将为所有用户审计 lo 类中的事件。
# audit_control file dir:/var/audit flags:lo minfree:20 naflags:lo |
要查看哪些事件位于 lo 类中,请读取 audit_event 文件。另外,还可以使用 bsmrecord 命令,如示例 29–22 中所示。
在本示例中,将审计 na 类中的所有事件,以及所有无归属的 login 事件。
# audit_control file dir:/var/audit flags:lo minfree:20 naflags:lo,na |
audit_control 文件中的 dir 行列出了要用于二进制审计数据的审计文件系统。在本示例中,定义了三个存放二进制审计数据的位置。
# audit_control file # # Primary audit directory - NFS-mounted from audit server dir:/var/audit/egret.1/files # # Secondary audit directory - NFS-mounted from audit server dir:/var/audit/egret.2/files # # Directory of last resort local directory dir:/var/audit flags:lo minfree:20 naflags:lo,na plugin: |
要设置文件系统来保存二进制审计数据,请参见如何创建审计文件的分区。
在本示例中,设置了所有审计文件系统的最低空闲空间级别,以便在文件系统的可用率只有 10% 时发出警告。
# audit_control file # dir:/var/audit/examplehost.1/files dir:/var/audit/examplehost.2/files dir:/var/audit/localhost/files flags:lo minfree:10 naflags:lo,na |
audit_warn 别名可接收警告。要设置别名,请参见如何配置 audit_warn 电子邮件别名。