監査ポリシーを使用して、ローカルホストの監査レコードの特性を決定します。監査ポリシーでは、特定の構成を有効または無効にします。デフォルトでは、すべての監査ポリシーが無効になっています。使用する監査ポリシーは、有効にする必要があります。各ポリシーについては、監査ポリシーを参照してください。
スーパーユーザーになるか、同等の役割を引き受けます。
(省略可能) 既存の監査ポリシーを確認します。
監査ポリシーを変更するときは、現在使用されているポリシーをすべて確認してください。次のコマンドを実行すると、有効なポリシーがすべて表示されます。
# auditconfig -lspolicy |
監査ポリシーを有効または無効にします。
# auditconfig -setpolicy flagpolicyname |
flag |
+ を指定すると、ポリシーが有効になる。– を指定すると、ポリシーが無効になる |
policyname |
有効または無効にするポリシーを選択する |
このポリシーは、次回ブートしたとき、または auditconfig -setpolicy コマンドを使ってポリシーを変更したときに有効になります。
cnt ポリシーを設定すると、監査パーティションがいっぱいになっても、プロセスはブロックされません。パーティションがいっぱいになると、レコードは破棄されます。ただし、監査プロセスがイベントを記録していない場合でも、システムは引き続き動作します。セキュリティを重視する場合は、cnt ポリシーは設定しないでください。ファイルシステムがいっぱいになると、イベントが記録されないことがあるためです。
次のコマンドを実行すると、cnt ポリシーが有効になります。
# auditconfig -setpolicy +cnt |
サイトのセキュリティを確保するには、適切な起動ファイルの cnt ポリシーを有効にする必要があります。