跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
审计在发生指定的事件时生成审计记录。通常情况下,生成审计记录的事件包括:
系统启动和系统关闭
登录和注销
进程创建或进程销毁,或线程创建或线程销毁
打开、关闭、创建、销毁或重命名对象
使用特权功能或基于角色的访问控制 (role-based access control, RBAC)
识别操作和验证操作
由进程或用户执行的权限更改
管理操作,例如安装软件包
特定于站点的应用程序
审计记录从以下三个源生成:
应用程序
进程系统调用的结果
捕获相关的事件信息后,会将这些信息格式化为审计记录。每条审计记录都包含识别事件的信息、导致事件的原因、事件发生的时间,以及其他相关信息。该记录随后会被放置在活动插件的审计队列中。尽管所有插件都可以处于活动状态,但至少有一个插件必须处于活动状态。
缺省情况下,有一个插件处于活动状态。这个插件即为 audit_binfile 插件,它将审计记录写入审计文件。这些文件以二进制格式存储在本地。活动的 audit_remote 插件可将这些记录发送到远程系统信息库。活动的 audit_syslog 插件可将文本摘要发送到 syslog 实用程序。有关图示,请参见图 26-1。
本地存储后,审计文件可以位于一个或多个 ZFS 池中。ZFS 池可使本地存储易于管理。这些池可以位于不同的系统中,也可以位于不同但链接的网络中。相互链接的审计文件集合称为审计迹。