了解审计策略
审计策略确定本地系统审计记录的特征。可以使用 auditconfig 命令设置这些策略。有关更多信息,请参见 auditconfig(1M) 手册页。
缺省情况下,会禁用大多数审计策略选项以最大程度地减少存储需求和系统处理需求。这些选项是审计服务的属性,并确定在系统引导时生效的策略。有关更多信息,请参见 auditconfig(1M) 手册页。
参考下表确定启用一个或多个审计策略选项而造成的额外开销是否与站点的需求相适应。
表 27-1 审计策略选项的影响
|
|
|
|
该策略仅适用于异步事件。禁用后,该策略允许在不生成审计记录的情况下完成事件。 启用后,该策略会在审计队列已满时停止系统。需要管理干预才能清除审计队列、为审计记录提供空间,以及重新引导系统。只能在全局区域中启用该策略。该策略影响所有区域。 |
当系统可用性比安全性更重要时,适合禁用该选项。 在安全性极为重要的环境中,适合启用该选项。有关更全面的介绍,请参见同步事件和异步事件的审计策略。 |
|
禁用后,该策略将省略 execve 审计记录中已执行程序的环境变量。 启用后,该策略会将已执行程序的环境变量添加到 execve 审计记录。与禁用该策略的情况相比,生成的审计记录包含的详细信息要多得多。 |
与启用该选项的情况相比,禁用该选项后收集的信息要少很多。有关比较,请参见 如何审计用户执行的所有命令。 审计许多用户时,适合启用该选项。怀疑 ex 审计类的程序中使用的环境变量有问题时,也可以使用此选项。 |
|
禁用后,该策略将省略 execve 审计记录中已执行程序的参数。 启用后,该策略会将已执行程序的参数添加到 execve 审计记录。与禁用该策略的情况相比,生成的审计记录包含的详细信息要多得多。 |
与启用该选项的情况相比,禁用该选项后收集的信息要少很多。有关比较,请参见 如何审计用户执行的所有命令。 审计许多用户时,适合启用该选项。如果您有理由确信 ex
审计类中的异常程序正在运行,也可以使用此选项。 |
|
禁用后,该策略将阻止用户或应用程序运行。由于审计队列已满而导致审计记录无法添加到审计迹时,会发生阻止。 启用后,该策略允许在不生成审计记录的情况下完成事件。该策略将保留丢弃的审计记录数。 |
在安全性极为重要的环境中,适合禁用该选项。 当系统可用性比安全性更重要时,适合启用该选项。有关更全面的介绍,请参见同步事件和异步事件的审计策略。 |
|
禁用后,该策略不会在审计记录中添加组列表。 启用后,该策略会在每条审计记录中添加组列表作为特殊标记。 |
禁用该选项通常可以满足站点的安全要求。 当您需要审计主题所属的补充组时,启用该选项很有用。 |
|
禁用后,该策略会在每条审计记录中最多记录一条在系统调用期间使用的路径。 启用后,该策略会将与审计事件结合使用的每条路径记录到每条审计记录中。 |
禁用该选项最多在审计记录中放置一条路径。 启用该选项会将系统调用期间使用的每个文件名或路径输入到审计记录中,作为 path 标记。 |
|
禁用后,该策略针对每个系统只维护一个审计配置。全局区域中运行一个审计服务。如果预选 zonename 审计标记,可在审计记录中找到特定区域中的审计事件。 启用后,该策略会为每个区域维护单独的审计配置、审计队列和审计日志。审计服务运行在各个区域中。只能在全局区域中启用该策略。 |
当您没有特殊理由为每个区域维护单独的审计日志、队列和守护进程时,禁用该选项很有用。 当仅通过检查带有 zonename 审计标记的审计记录无法有效监视系统时,启用该选项很有用。 |
|
禁用后,如果预选了文件读取,则该策略不会将公共对象的只读事件添加到审计迹。包含只读事件的审计类包括 fr、 fa 和 cl。 启用后,如果预选了适当的审计类,则该策略会记录公共对象的每个只读审计事件。 |
禁用该选项通常可以满足站点的安全要求。 启用该选项的作用很小。 |
|
禁用后,该策略不会将序列号添加到每条审计记录中。 启用后,该策略会将序列号添加到每条审计记录中。sequence 标记保留序列号。 |
当审计顺利进行时,禁用该选项便足以满足要求。 启用 cnt
策略后,适合启用该选项。使用 seq 策略可以确定废弃数据的时间。或者,可以使用 auditstat 命令查看丢弃的记录。 |
|
禁用后,该策略不会将 trailer 标记添加到审计记录中。 启用后,该策略会将 trailer 标记添加到每条审计记录中。 |
禁用该选项会创建一条较小的审计记录。 启用该选项会使用 trailer 标记清楚地标记每条审计记录的末尾。trailer 标记经常与
sequence 标记结合使用。使用 trailer 标记有助于恢复损坏的审计迹。 |
|
禁用后,该策略不会在审计记录中包括 zonename 标记。 启用后,该策略会在每条审计记录中包括 zonename 标记。 |
无需跟踪各个区域中的审计行为时,禁用该选项很有用。 要通过根据区域后选记录来分离和比较各个区域中的审计行为时,启用该选项很有用。 |
|