跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
以下方法可帮助您在更有效地进行审计的同时实现组织的安全目标。
一次只能对特定百分比的用户进行随机审计。
实时监视审计数据有无异常行为。您可以扩展已开发的管理和分析工具,以处理 syslog 文件中的审计记录。
您还可以设置监视某些活动的审计迹的过程。可以编写一个脚本,以便检测到异常事件时,触发自动提升对特定用户或特定系统的审计。
监视所有审计文件服务器上审计文件的创建。
使用 tail 命令处理审计文件。
通过 praudit 命令对 tail -0f 命令进行管道输出,可以在生成记录时产生审计记录流。有关更多信息,请参见 tail(1) 手册页。
分析此流以查看是否存在异常消息类型或其他指示符,并将分析结果提供给审计程序。
或者,可以使用脚本来触发自动响应。
经常监视审计目录,以查看是否有新的 not_terminated 审计文件出现。
当等待中的 tail 进程的文件不再被写入信息时,终止这些进程。