记录文件管理

本节描述执行记录文件管理的驻留守护程序 hclfmd。这一驻留守护程序以根的身份运行。它在引导时启动并执行下列功能：

• 它对 /etc/syslog.conf 中的记录文件列表进行语法分析，以获知哪些文件路径不是开始于 /dev（与系统设备相关联的文件），同时每天执行清理、日志和循环传递。

  对于由 syslogd 写的每个记录文件，它执行下列功能：

  • 重命名已有的记录文件并创建一份新的每日记录。

  • 向 syslog 守护程序发送重新启动信号 (-HUP)，以便创建新的每日记录。

  • 通过每星期压缩每日记录文件生成每周归档，并把它存储为 name.YYYYMMDD-YYYYMMDD.tar.z。

  • 放弃一个月以上旧的每周归档。

• 从 /etc/security/audit_control 获取审查记录的位置，并每天执行清理、日志和循环传递。

  为每个本地装配的审查目录执行下列功能：

  • 执行 audit -n 以创建一个新的每日记录。即用信号通知审查目录关闭当前的审查文件并在当前审查目录中打开一个新的审查文件。

  • 通过每周压缩每天的记录文件生成一个周记录文件，并将它存储为 audit.YYYYMMDD-YYYYMMDD.tar.z。

  • 放弃一个月以上旧的每周归档。

• 每 10 分钟执行一次入侵检查。

  • 检测并报告 syslog 文件中每个失败的授权条目。

  • 缺省时，/etc/opt/SUNWisp/hc/hclfmd.conf 被配置为对于输入进 syslog 中的每次失败的授权尝试，均发送邮件给根。

    ---

    注意：

    您可以重新配置此文件。缺省时，它被配置如下: /var/log/badauth:/usr/bin/mailx -s "%f" root < %c 其中：

    • /var/log/badauth 为产生条目的文件。

    • /usr/bin/mailx -s 为将邮件发送到根的命令。

    • "%f" 是邮件的主题行，包括在其中检测到条目的文件名，而

    • "%c" 为 syslog 文件的新内容。

    ---