从 Solaris 9 发行版开始,已将以下功能引入 Solaris 审计中:
Solaris 审计可以使用 syslog 实用程序以文本格式存储审计记录。有关介绍,请参见审计文件。有关设置 audit_control 文件以使用 syslog 实用程序的信息,请参见如何配置 syslog 审计日志。
praudit 命令具有另外一种输出格式 XML。XML 是标准的可移植、可处理格式。XML 格式使得输出能够在浏览器中读取,并为报告的 XML 脚本提供数据源。praudit 命令的 -x 选项在praudit 命令中介绍。
已重新构造缺省的审计类集。审计元类为更加细分的审计类提供了一种保护。有关缺省类集列表的信息,请参见审计类的定义。
bsmconv 命令不再禁用 Stop-A 键。可以审计 Stop-A 事件。
审计记录中的时间标记以 ISO 8601 格式报告。有关标准的信息,请访问 http://www.iso.org。
添加了三个审计策略选项:
public-不再审计只读事件的公共对象。由于不再审计公共文件,因而审计日志的大小将显著减小。对敏感文件的读取尝试将更容易监视。有关公共对象的更多信息,请参见审计术语和概念。
perzone- perzone 策略具有广泛的影响。在每个区域中运行单独的审计守护进程。此守护进程使用特定于相应区域的审计配置文件。审计队列也特定于该区域。有关详细信息,请参见 auditd(1M) 和 auditconfig(1M) 手册页。有关区域的更多信息,请参见审计和 Solaris Zones。有关策略的更多信息,请参见如何在区域中规划审计。
zonename-其中发生的审计事件包括在审计记录中的 Solaris 区域的名称。有关区域的更多信息,请参见审计和 Solaris Zones。有关何时使用选项的介绍,请参见确定审计策略。
cmd 标记记录参数列表和与命令关联的环境变量的列表。有关更多信息,请参见cmd 标记。
path_attr 标记记录 path 标记对象下的属性文件对象的序列。有关更多信息,请参见path_attr 标记。
privilege 标记记录进程中使用的权限。有关更多信息,请参见privilege 标记。
uauth 标记记录在命令或操作中使用的授权。有关更多信息,请参见uauth 标记。
zonename 标记记录发生审计事件的非全局区域的名称。zonename 审计策略选项确定 zonename 标记是否包括在审计记录中。有关更多信息,请参见zonename 标记。
有关概述信息,请参见审计和 Solaris Zones。要了解有关区域的信息,请参见《系统管理指南:Solaris Containers-资源管理和 Solaris Zones》中的第 II 部分, “Zones”。