| 跳过导航链接 | |
| 退出打印视图 | |
|
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
Oracle Solaris 管理:安全服务 Oracle Solaris 11 Information Library (简体中文) |
审计策略可确定是否将其他信息添加到审计迹中。
以下策略向审计记录添加标记:arge、argv、group、path、seq、trail、windata_down、windata_up 和 zonename。Oracle Solaris 的 Trusted Extensions 功能使用 windata_down 和 windata_up 策略。有关更多信息,请参见《Trusted Extensions 配置和管理》中的第 22 章 "Trusted Extensions 审计(概述)"。
其余的策略则不添加标记。public 策略限制对公共文件的审计。perzone 策略针对非全局区域建立单独的审计队列。ahlt 和 cnt 策略确定无法传送审计记录时所发生的情况。有关详细信息,请参见同步事件和异步事件的审计策略。
了解审计策略中介绍了不同审计策略选项的影响。有关审计策略选项的说明,请参见 auditconfig(1M) 手册页中的 -setpolicy 选项。要获得可用策略选项的列表,请运行 auditconfig -lspolicy 命令。要获得当前策略,请运行 auditconfig -getpolicy 命令。
ahlt 策略和 cnt 策略一起控制由于审计队列已满而无法接受更多事件时发生的状况。
注 - 如果至少一个插件的队列可以接受审计记录,则不会触发 cnt 或 ahlt 策略。
cnt 和 ahlt 策略独立且相关。结合使用这些策略可以带来以下效果:
-ahlt +cnt 是随附的缺省策略。使用该缺省策略,即使无法记录审计的事件,也可以对它进行处理。
-ahlt 策略指明,如果无法将一个异步事件的审计记录放入内核审计队列,系统将对事件计数并继续处理。在全局区域,as_dropped 计数器会记录该计数。
+cnt 策略指明,如果一个同步事件已到达却无法被放入内核审计队列,系统将对事件计数并继续处理。区域的 as_dropped 计数器会记录该计数。
-ahlt +cnt 配置通常在那些即使继续处理会导致审计记录丢失,也必须继续处理的站点上使用。auditstatdrop 字段显示区域中丢弃的审计记录数。
+ahlt -cnt 策略指明,当异步事件无法添加到内核审计队列时,处理将会停止。
+ahlt 策略指明,如果一个异步事件的审计记录无法被放入内核审计队列,所有处理都将停止。系统将进入混乱状态。异步事件将不会进入审计队列,而必须通过调用栈上的指针恢复。
-cnt 策略指明,如果一个同步事件无法被放入内核审计队列,则会阻塞尝试发送事件的线程。该线程将被放入休眠队列,直到审计空间可用。不会保留计数。在审计空间可用之前,程序看上去可能处于挂起状态。
+ahlt -cnt 配置通常在每个审计事件记录的重要性高于系统可用性的站点上使用。在审计空间可用之前,程序看上去处于挂起状态。auditstat wblk 字段显示线程被阻塞的次数。
但是,如果发生异步事件,系统将进入混乱状态,从而导致故障。可以通过保存的故障转储手动恢复审计事件的内核队列。异步事件将不会进入审计队列,而必须通过调用栈上的指针恢复。
-ahlt -cnt 策略指明,如果异步事件无法被放入内核审计队列,将对事件计数,并继续处理。如果一个同步事件无法被放入内核审计队列,则会阻塞尝试发送事件的线程。该线程将被放入休眠队列,直到审计空间可用。不会保留计数。在审计空间可用之前,程序看上去可能处于挂起状态。
-ahlt -cnt 配置通常在那些所有同步审计事件的记录比部分异步审计记录的潜在损失重要的站点上使用。auditstat wblk 字段显示线程被阻塞的次数。
+ahlt +cnt 策略指明,如果异步事件无法放入内核审计队列,系统将进入混乱状态。如果无法将同步事件放入内核审计队列,系统将对事件计数,然后继续处理。
|