如果您的系统实现了区域,则可以进行两种审计配置:
可以单独配置非全局区域。
可以在全局区域中为所有区域配置审计。
确定是否要在非全局区域中自定义审计。
如果不想在非全局区域中自定义审计,请转至步骤 2。
如果要在非全局区域中自定义审计,请考虑以下事项:
还必须配置全局区域。
要根据非全局区域中的审计配置文件收集审计记录,必须在全局区域中设置 perzone 审计策略。
如果使用自定义名称服务文件实现非全局区域,则应设置 perzone 审计策略选项。名称服务文件包括 /etc/password、/etc/shadow 和 nsswitch.conf。有关不设置 perzone 选项的信息,请参见审计和 Solaris Zones。
区域中的审计配置文件由此区域的审计守护进程读取。
每个区域都运行自己的审计守护进程,具有自己的审计队列,并收集自己的审计日志。这些操作由计算机集中执行。
各个区域都可以设置除 perzone 和 ahlt 以外的所有策略选项。这些策略选项在全局区域中设置。
如果在每个区域中自定义审计配置文件,应使用如何规划要审计的对象及内容规划每个区域。可以跳过第一步。还必须使用如何规划审计记录的存储规划每个区域。
确定是否需要单映像审计跟踪。
单映像审计跟踪将正在审计的系统视为一台计算机。全局区域会在系统上运行唯一的审计守护进程,并收集每个区域的审计日志。仅可在全局区域中自定义审计配置文件。
此配置将所有区域视为单一系统的一部分。要区分区域审计记录,可以设置 zonename 策略。然后,可以使用 auditreduce 命令,按区域来选择审计事件。有关示例,请参见 auditreduce(1M) 手册页。
要规划单映像审计跟踪,请使用如何规划要审计的对象及内容进行规划。从第一步开始。还必须使用如何规划审计记录的存储规划每个区域。