Gestion de fichier journal (Guide d'administration de Solaris for ISPs)

Guide d'administration de Solaris for ISPs

Gestion de fichier journal

Cette section décrit le démon résident, hclfmd, qui effectue la gestion des fichiers journaux. Ce démon résident fonctionne comme racine. Il démarre lors de l'amorçage et effectue les fonctions suivantes :

Il analyse la liste de fichiers journaux dans /etc/syslog.conf à la recherche de chemins de fichiers qui ne démarrent pas avec /dev (fichiers associés aux dispositifs système) et réalise un nettoyage, un journal et une exploration quotidienne.

Pour chaque fichier journal écrit par syslogd, il effectue les fonctions suivantes :
- Il renomme le fichier journal existant et crée un nouveau journal quotidien.
- Il envoie le signal de redémarrage (-HUP) au démon syslog pour créer un nouveau journal quotidien.
- Il génère un archive hebdomadaire en compressant des fichiers journaux quotidiens chaque semaine et stocke ces informations dans nom.AAAAMMJJ-AAAAMMJJ.tar.z.
- Il supprime les archives hebdomadaires datant de plus d'un mois.
Il obtient l'emplacement des journaux d'audit à partir de /etc/security/audit_control et effectue un nettoyage, un journal et une exploration quotidienne.

Il effectue les fonctions suivantes pour chaque répertoire d'audit monté localement :
- Il exécute audit -n pour créer un nouveau journal quotidien. Cela indique au répertoire d'audit de fermer le fichier d'audit courant et d'ouvrir un nouveau fichier d'audit dans le répertoire d'audit courant.
- Il génère un archive hebdomadaire en compressant des fichiers journaux quotidiens chaque semaine et les stocke dans nom.AAAAMMJJ-AAAAMMJJ.tar.z.
- Il supprime les archives hebdomadaires datant de plus d'un mois.
Il effectue un contrôle de détection d'intrusion toutes les 10 minutes.
- Il détecte et signale tous les échecs d'entrée d'autorisation dans les fichiers syslog.
- Par défaut, /etc/opt/SUNWisp/hc/hclfmd.conf est configuré pour envoyer du courrier électronique à la racine pour chaque échec de tentative d'autorisation entrée dans syslog.
  
  Remarque :
  Vous pouvez reconfigurer ce fichier. Par défaut, il est configuré de la façon suivante : /var/log/badauth:/usr/bin/mailx -s "%f" root < %c où :
  - /var/log/badauth est le fichier où les entrées sont effectuées.
  - /usr/bin/mailx -s est la commande à envoyer à root.
  - "%f" est la ligne de sujet du message, contenant le nom de fichier où les entrées ont été détectées, et
  - "%c" est le nouveau contenu du fichier syslog.