Uso da auditoria do Solaris em regiões
A auditoria do Solaris é descrita no Capítulo 28, Oracle Solaris Auditing (Overview), no System Administration Guide: Security Services. Para considerações de regiões associadas a auditoria, consulte as seguintes seções:
-
Capítulo 29, Planning for Oracle Solaris Auditing, no System Administration Guide: Security Services
-
Auditing and Solaris Zones no System Administration Guide: Security Services
Um registro de auditoria descreve um evento, como login em um sistema ou gravação em um arquivo. O registro é composto de símbolos, que são conjuntos de dados de auditoria. Com o uso do símbolo zonename, você pode configurar a auditoria do Solaris para identificar eventos de auditoria por região. O uso do símbolo zonename permite que você produza as seguintes informações:
-
Registros de auditoria que são marcados com o nome da região que gerou o registro
-
Um log de auditoria para uma região específica que o administrador global pode disponibilizar para o administrador de região.
Configuração de auditoria na região global
As faixas de auditoria do Solaris são configuradas na região global. A política de auditoria é definida na região global e se aplica a processos em todas as regiões. Os registros de auditoria podem ser marcados com o nome da região em que ocorreu o evento. Para incluir nomes de região em registros de auditoria, é necessário editar o arquivo /etc/security/audit_startup antes de instalar qualquer região não global. A seleção de nome de região diferencia maiúsculas de minúsculas.
Para configurar auditoria na região global para incluir todos os registros de auditoria da região, adicione esta linha ao arquivo /etc/security/audit_startup:
/usr/sbin/auditconfig -setpolicy +zonename |
Como administrador global na região global, executar o utilitário auditconfig :
global# auditconfig -setpolicy +zonename |
Para obter informações adicionais, consulte as páginas do manual audit_startup(1M) e auditconfig(1M), e “Configuring Audit Files (Task Map)” in System Administration Guide: Security Services.
Configuração de características de auditoria de usuário em uma região não global
Quando uma região não global é instalada, o arquivo audit_control e o arquivo audit_user na região global são copiados para o diretório /etc/security da região. Estes arquivos podem requerer modificação para refletir as necessidade de auditoria da região.
Por exemplo, cada região pode ser configurada para fazer a auditoria de alguns usuários de maneira diferente da de outros. Para aplicar diferentes critérios de pré-seleção por usuário, os arquivos audit_control e audit_user devem ser editados. O arquivo audit_user na região não global também pode requerer revisões para refletir a base de usuário para a região, se necessário. Uma vez que cada região pode ser configurada de maneira diferente com relação a usuários de auditoria, é possível que o arquivo audit_user seja vazio.
Para obter informações adicionais, consulte as páginas do manual audit_control(4) e audit_user(4).
Fornecimento de registros de auditoria para uma região não global específica
Por incluir o símbolo zonename como descrito em Configuração de auditoria na região global, os registros de auditoria do Solaris podem ser categorizados por região. Registros de diferentes regiões podem em seguida ser reunidos usando-se o comando auditreduce para criar logs para uma região específica.
Para obter mais informações, consulte as páginas do manual audit_startup(1M) e auditreduce(1M).
- © 2010, Oracle Corporation and/or its affiliates