如何启用审计

此过程在全局区域中启动审计服务。要在非全局区域中启用审计服务，请参见示例 29–18。

开始之前

应该在完成以下任务后执行此过程：

• 规划－规划 Solaris 审计（任务列表）

• 自定义审计文件－配置审计文件（任务列表）

• 设置审计分区－如何创建审计文件的分区

• 设置审计警告消息－如何配置 audit_warn 电子邮件别名

• 设置审计策略－如何配置审计策略

1. 成为超级用户并使系统进入单用户模式。

   % su Password: <键入超级用户口令> # init S

   有关更多信息，请参见 init(1M) 手册页。

2. 运行启用审计服务的脚本。

   转至 /etc/security 目录，并在其中执行 bsmconv 脚本。

   # cd /etc/security # ./bsmconv This script is used to enable the Basic Security Module (BSM). Shall we continue with the conversion now? [y/n] y bsmconv: INFO: checking startup file. bsmconv: INFO: move aside /etc/rc3.d/S81volmgt. bsmconv: INFO: turning on audit module. bsmconv: INFO: initializing device allocation files. The Basic Security Module is ready. If there were any errors, please fix them now. Configure BSM by editing files located in /etc/security. Reboot this system now to come up with BSM enabled.

   有关此脚本的影响，请参见 bsmconv(1M) 手册页。

3. 使系统进入多用户模式。

   # init 6

   启动文件 /etc/security/audit_startup 使 auditd 守护进程在系统进入多用户模式时自动运行。

   此脚本的另一个影响是启用设备分配。要配置设备分配，请参见管理设备分配（任务列表）。

示例 29–18 在非全局区域中启用审计

以下示例中，在全局区域中启用审计并引导非全局区域后，全局区域管理员启动了 perzone 策略。非全局区域的区域管理员配置了此区域的审计文件，随后在此区域中启动审计守护进程。

zone1# /usr/sbin/audit -s