audit_control 文件

每个系统上的 /etc/security/audit_control 文件都包含 auditd 守护进程的配置信息。使用此文件，每个系统都可以装入远程审计文件系统来存储其审计记录。

可以在 audit_control 文件中指定五种信息类型。每个信息行都以关键字开始。

• flags 关键字－用作为系统上所有用户预选要审计的事件类的项的开头。此处指定的审计类将确定系统范围的审计预选掩码。审计类以逗号分隔。

• naflags 关键字－用作当无法将某操作归属到特定用户时预选要审计的事件类的项的开头。审计类以逗号分隔。na 事件类应归入此项。naflags 项可以用于记录其他通常具有归属性但无法进行归属的事件类。例如，如果在引导系统时启动的某个程序可读取文件，则 naflags 项中的 fr 将针对此事件创建一条记录。

• minfree 关键字－用作针对所有审计文件系统定义最小空闲空间级别的项的开头。minfree 的百分比必须等于 0 或大于 0。缺省值为 20%。当审计文件系统的空间使用率达到 80% 时，审计数据便会存储到下一个可用的审计目录中。有关更多信息，请参见 audit_warn(1M) 手册页。

• dir 关键字－用作目录定义行的开头。每一行都定义了系统用于存储其审计文件的审计文件系统和目录。可以定义一个或多个目录定义行。dir 行的顺序非常重要。auditd 守护进程将按照指定顺序在目录中创建审计文件。第一个目录为系统的主审计目录。第二个目录为辅助审计目录，当第一个目录变满时， auditd 守护进程在此创建审计文件，以此类推。有关更多信息，请参见 audit(1M) 手册页。

• plugin 关键字－指定 syslog 插件模块的插件路径和审计类。此模块可提供 Solaris 审计记录向文本的实时转换。plugin 行中的审计类必须为 flags 行和 naflags 行中的审计类的子集。

有关 audit_control 文件的更多信息，请参见 audit_control(4) 手册页。

示例 30–2 audit_control 文件样例

以下是系统 noddy 的 audit_control 文件样例。noddy 使用的两个审计文件系统位于审计服务器 blinken 上，第三个审计文件系统从第二台审计服务器 winken 中装入。仅当 blinken 上的审计文件系统变满或不可用时，才使用第三个文件系统。如果 minfree 的值为 20%，则指定当文件系统的空间使用率达到 80% 时运行警告脚本。这些设置指定可以对登录和管理操作进行审计。可以对操作进行审计以查看成功和失败的情况。可以对所有类型的失败进行审计（但创建文件系统对象失败除外），还可以对不具归属性的事件进行审计。syslog 审计日志将记录较少的审计事件。此日志包含失败的登录和管理操作的文本摘要。

flags:lo,am,-all,^-fc

naflags:lo,nt

minfree:20

dir:/etc/security/audit/blinken/files

dir:/etc/security/audit/blinken.1/files

#

# Audit filesystem used when blinken fills up

#

dir:/etc/security/audit/winken

plugin:name=audit_syslog.so.1; p_flags=-lo,-am