使用审计服务

审计保留系统使用情况的记录。审计服务包括帮助分析审计数据的工具。

《Oracle Solaris 管理：安全服务》中的第 VII 部分, "在 Oracle Solaris 中审计" 中对审计服务进行了介绍。

• 《Oracle Solaris 管理：安全服务》中的第 26  章 "审计（概述）"

• 《Oracle Solaris 管理：安全服务》中的第 27  章 "规划审计"

• 《Oracle Solaris 管理：安全服务》中的第 28  章 "管理审计（任务）"

• 《Oracle Solaris 管理：安全服务》中的第 29  章 "审计（参考）"

  有关手册页及其链接的列表，请参见《Oracle Solaris 管理：安全服务》中的"审计服务手册页"。

以下审计服务过程可能对满足站点要求有所帮助：

• 创建单独的角色以配置审计、检查审计以及启动和停止审计服务。

  将 "Audit Configuration"（审计配置）、"Audit Review"（审计检查）和 "Audit Control"（审计控制）权限配置文件用作角色的基础。

  要创建角色，请参见《Oracle Solaris 管理：安全服务》中的"如何创建角色"。

• 在 syslog 实用程序中监视已审计事件的文本摘要。

  激活 audit_syslog 插件，然后监视报告的事件。

  请参见《Oracle Solaris 管理：安全服务》中的"如何配置 syslog 审计日志"。

• 限定审计文件的大小。

  将 audit_binfile 插件的 p_fsize 属性设置为有用的大小。考虑您的检查调度、磁盘空间、cron 作业频率以及其他因素。

  例如，请参见《Oracle Solaris 管理：安全服务》中的"如何为审计迹指定审计空间"。

• 在单独的 ZFS 池上调度完整审计文件到审计检查文件系统的安全传输。

• 查看审计检查文件系统上的完整审计文件。

监视 audit_syslog 审计摘要

通过 audit_syslog 插件，可以记录预选审计事件的摘要。

可以在终端窗口中显示审计摘要，因为它们是通过运行类似如下的命令生成的：

# tail -0f /var/adm/auditlog

查看并归档审计日志

可以采用文本格式或在浏览器中采用 XML 格式查看审计记录。

有关信息和过程，请参见以下内容：

• 《Oracle Solaris 管理：安全服务》中的"审计日志"

• 《Oracle Solaris 管理：安全服务》中的"如何防止审计迹溢出"

• 《Oracle Solaris 管理：安全服务》中的"在本地系统上管理审计记录（任务）"