監査ポリシーを有効または無効にする方法

監査ポリシーを使用して、ローカルホストの監査レコードの特性を決定します。監査ポリシーでは、特定の構成を有効または無効にします。デフォルトでは、すべての監査ポリシーが無効になっています。使用する監査ポリシーは、有効にする必要があります。各ポリシーについては、監査ポリシーを参照してください。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. (省略可能) 既存の監査ポリシーを確認します。

   監査ポリシーを変更するときは、現在使用されているポリシーをすべて確認してください。次のコマンドを実行すると、有効なポリシーがすべて表示されます。

   # auditconfig -lspolicy

3. 監査ポリシーを有効または無効にします。

   # auditconfig -setpolicy flagpolicyname

   flag	+ を指定すると、ポリシーが有効になる。– を指定すると、ポリシーが無効になる
   policyname	有効または無効にするポリシーを選択する

   このポリシーは、次回ブートしたとき、または auditconfig -setpolicy コマンドを使ってポリシーを変更したときに有効になります。

例 — cnt ポリシーを設定する

cnt ポリシーを設定すると、監査パーティションがいっぱいになっても、プロセスはブロックされません。パーティションがいっぱいになると、レコードは破棄されます。ただし、監査プロセスがイベントを記録していない場合でも、システムは引き続き動作します。セキュリティを重視する場合は、cnt ポリシーは設定しないでください。ファイルシステムがいっぱいになると、イベントが記録されないことがあるためです。

次のコマンドを実行すると、cnt ポリシーが有効になります。

# auditconfig -setpolicy +cnt

サイトのセキュリティを確保するには、適切な起動ファイルの cnt ポリシーを有効にする必要があります。