JavaScript is required to for searching.
跳过导航链接
退出打印视图
手册页第 1M 部分:系统管理命令     Oracle Solaris 11.1 Information Library (简体中文)
为本文档评分
search filter icon
search icon

文档信息

前言

简介

System Administration Commands-第 1 单元

6to4relay(1M)

acct(1M)

acctadm(1M)

acctcms(1M)

acctcon1(1M)

acctcon(1M)

acctcon2(1M)

acctdisk(1M)

acctdusg(1M)

acctmerg(1M)

accton(1M)

acctprc1(1M)

acctprc(1M)

acctprc2(1M)

acctsh(1M)

acctwtmp(1M)

acpihpd(1M)

adbgen(1M)

add_allocatable(1M)

addbadsec(1M)

add_drv(1M)

aimanifest(1M)

arp(1M)

asradm(1M)

asr-notify(1M)

atohexlabel(1M)

audit(1M)

auditconfig(1M)

auditd(1M)

auditrecord(1M)

auditreduce(1M)

auditstat(1M)

audit_warn(1M)

automount(1M)

automountd(1M)

autopush(1M)

bart(1M)

beadm(1M)

boot(1M)

bootadm(1M)

bootconfchk(1M)

bootparamd(1M)

busstat(1M)

captoinfo(1M)

catman(1M)

cfgadm(1M)

cfgadm_ac(1M)

cfgadm_cardbus(1M)

cfgadm_fp(1M)

cfgadm_ib(1M)

cfgadm_pci(1M)

cfgadm_sata(1M)

cfgadm_sbd(1M)

cfgadm_scsi(1M)

cfgadm_sdcard(1M)

cfgadm_shp(1M)

cfgadm_sysctrl(1M)

cfgadm_usb(1M)

chargefee(1M)

chat(1M)

check-hostname(1M)

check-permissions(1M)

chk_encodings(1M)

chroot(1M)

cimworkshop(1M)

ckpacct(1M)

clear_locks(1M)

clinfo(1M)

closewtmp(1M)

clri(1M)

comsat(1M)

configCCR(1M)

consadm(1m)

console-reset(1M)

coreadm(1M)

cpustat(1M)

croinfo(1M)

cron(1M)

cryptoadm(1M)

datadm(1M)

dcopy(1M)

dcs(1M)

dd(1M)

ddu(1M)

ddu-text(1M)

devchassisd(1M)

devfsadm(1M)

devfsadmd(1M)

device_allocate(1M)

device_remap(1M)

devinfo(1M)

devlinks(1M)

devnm(1M)

devprop(1M)

df(1M)

dfmounts(1M)

dfmounts_nfs(1M)

dfshares(1M)

dfshares_nfs(1M)

df_ufs(1M)

dhcpagent(1M)

dhcpconfig(1M)

dhcpmgr(1M)

dhtadm(1M)

dig(1M)

directoryserver(1M)

diskinfo(1M)

disks(1M)

diskscan(1M)

dispadmin(1M)

distro_const(1M)

dladm(1M)

dlmgmtd(1M)

dlstat(1M)

dmesg(1M)

dminfo(1M)

dns-sd(1M)

dnssec-dsfromkey(1M)

dnssec-keyfromlabel(1M)

dnssec-keygen(1M)

dnssec-makekeyset(1M)

dnssec-signkey(1M)

dnssec-signzone(1M)

dodisk(1M)

domainname(1M)

drd(1M)

drvconfig(1M)

dsbitmap(1M)

dscfg(1M)

dscfgadm(1M)

dscfglockd(1M)

dsstat(1M)

dsvclockd(1M)

dtrace(1M)

dumpadm(1M)

editmap(1M)

edquota(1M)

eeprom(1M)

efdaemon(1M)

embedded_su(1M)

emCCR(1M)

emocmrsp(1M)

etrn(1M)

fbconfig(1M)

fbconf_xorg(1M)

fcadm(1M)

fcinfo(1M)

fdetach(1M)

fdisk(1M)

ff(1M)

ff_ufs(1M)

fingerd(1M)

fiocompress(1M)

flowadm(1M)

flowstat(1M)

fmadm(1M)

fmd(1M)

fmdump(1M)

fmstat(1M)

fmthard(1M)

format(1M)

fruadm(1M)

fsck(1M)

fsck_pcfs(1M)

fsck_udfs(1M)

fsck_ufs(1M)

fsdb(1M)

fsdb_udfs(1M)

fsdb_ufs(1M)

fsflush(1M)

fsirand(1M)

fssnap(1M)

fssnap_ufs(1M)

fsstat(1M)

fstyp(1M)

fuser(1M)

fwflash(1M)

fwtmp(1M)

getdevpolicy(1M)

getent(1M)

gettable(1M)

getty(1M)

gkadmin(1M)

groupadd(1M)

groupdel(1M)

groupmod(1M)

growfs(1M)

grpck(1M)

gsscred(1M)

gssd(1M)

hald(1M)

hal-device(1M)

hal-fdi-validate(1M)

hal-find(1M)

hal-find-by-capability(1M)

hal-find-by-property(1M)

hal-get-property(1M)

hal-set-property(1M)

halt(1M)

hextoalabel(1M)

host(1M)

hostconfig(1M)

hotplug(1M)

hotplugd(1M)

htable(1M)

ickey(1M)

id(1M)

idmap(1M)

idmapd(1M)

idsconfig(1M)

ifconfig(1M)

if_mpadm(1M)

ifparse(1M)

iiadm(1M)

iicpbmp(1M)

iicpshd(1M)

ikeadm(1M)

ikecert(1M)

ilbadm(1M)

inetadm(1M)

ilomconfig(1M)

imqadmin(1M)

imqbrokerd(1M)

imqcmd(1M)

imqdbmgr(1M)

imqkeytool(1M)

imqobjmgr(1M)

imqusermgr(1M)

in.chargend(1M)

in.comsat(1M)

in.daytimed(1M)

in.dhcpd(1M)

in.discardd(1M)

in.echod(1M)

inetadm(1M)

inetconv(1M)

inetd(1M)

in.fingerd(1M)

infocmp(1M)

in.iked(1M)

init(1M)

init.sma(1M)

init.wbem(1M)

inityp2l(1M)

in.lpd(1M)

in.mpathd(1M)

in.named(1M)

in.ndpd(1M)

in.rarpd(1M)

in.rdisc(1M)

in.rexecd(1M)

in.ripngd(1M)

in.rlogind(1M)

in.routed(1M)

in.rshd(1M)

in.rwhod(1M)

install(1M)

installadm(1M)

installboot(1M)

installf(1M)

installgrub(1M)

in.stdiscover(1M)

in.stlisten(1M)

in.talkd(1M)

in.telnetd(1M)

in.tftpd(1M)

in.timed(1M)

intrd(1M)

intrstat(1M)

in.uucpd(1M)

iostat(1M)

ipaddrsel(1M)

ipadm(1M)

ipf(1M)

ipfs(1M)

ipfstat(1M)

ipmgmtd(1M)

ipmon(1M)

ipmpstat(1M)

ipnat(1M)

ippool(1M)

ipqosconf(1M)

ipsecalgs(1M)

ipsecconf(1M)

ipseckey(1M)

iscsiadm(1M)

isns(1M)

isnsadm(1M)

itadm(1M)

itu(1M)

js2ai(1M)

k5srvutil(1M)

kadb(1M)

kadmin(1M)

kadmind(1M)

kadmin.local(1M)

kcfd(1M)

kclient(1M)

kdb5_ldap_util(1M)

kdb5_util(1M)

kdcmgr(1M)

kernel(1M)

keyserv(1M)

killall(1M)

kmem_task(1M)

kmscfg(1M)

kprop(1M)

kpropd(1M)

kproplog(1M)

krb5kdc(1M)

ksslcfg(1M)

kstat(1M)

ktkt_warnd(1M)

labeld(1M)

labelit(1M)

labelit_hsfs(1M)

labelit_udfs(1M)

labelit_ufs(1M)

lastlogin(1M)

latencytop(1M)

ldapaddent(1M)

ldap_cachemgr(1M)

ldapclient(1M)

ldmad(1M)

link(1M)

llc2_loop(1M)

lldpadm(1M)

lldpd(1M)

lms(1M)

locator(1M)

lockd(1M)

lockfs(1M)

lockstat(1M)

lofiadm(1M)

logadm(1M)

logins(1M)

lshal(1M)

System Administration Commands-第 2 单元

System Administration Commands-第 3 单元

请告诉我们如何提高我们的文档:
过于简略
不易阅读或难以理解
重要信息缺失
错误的内容
需要翻译的版本
其他
Your rating has been updated
感谢您的反馈!

您的反馈将非常有助于我们提供更好的文档。 您是否愿意参与我们的内容改进并提供进一步的意见?

auditconfig

- 配置审计

用法概要

auditconfig subcommand...

描述

auditconfig 提供了一个用于获取和设置内核审计参数的命令行接口。

除了获取或设置持久性的审计服务值以外,只有在启用了 Solaris 审计功能时此功能才可用。

队列值为零 (0) 表示应用系统缺省值。

perzone 策略的设置决定了 auditconfig 控制的审计设置的作用域。如果设置了 perzone,则这些值反映本地区域,除非另行说明。否则,这些设置针对整个系统。基于 perzone 设置所做的任何限制只针对应用了该限制的每个选项。

非全局区域管理员可以设置除 perzoneahlt 以外的所有审计策略选项。perzoneahlt 仅适用于全局区域;设置这些策略需要有全局区域管理员权限。perzoneahlt 在下面的 -setpolicy 选项中介绍。

此命令可供授予了“审计控制权限”配置文件的管理员使用。

选项

支持以下选项:

-t

显示或设置正在运行的系统上除审计服务的持久性值以外的其他值。

此选项仅适用于以下列出了此选项的子命令。

子命令

-aconf

将所配置的无归属审计掩码 kmask 设置为所配置的无归属审计掩码。例如:

# auditconfig -aconf
Configured non-attributable event mask.
-audit event sorf retval string

此命令使用包含文本标记 string 的进程审计特征来构建审计事件 event 的审计记录。返回标记是根据 sorf(成功/失败标志)和 retval(返回值)构建的。事件为 char* 类型,sorf 为 0/1(代表成功/失败),retval 为错误号值,string*char 类型。此命令用于通过 shell 脚本构建审计记录。此选项的示例:

# auditconfig -audit AUE_ftpd 0 0 "test string"
#

audit record from audit trail:
    header,76,2,ftp access,,Fri Dec 08 08:44:02 2000, + 669 msec
    subject,abc,root,other,root,other,104449,102336,235 197121 elbow
    text,test string
    return,success,0
-chkaconf

根据审计服务中配置的条目 (-setnaflags) 检查内核中设置的无归属事件配置。如果内核审计事件的活动类掩码与配置的类掩码不匹配,则会报告不匹配。

-chkconf

检查内核审计事件到类映射的配置。如果内核审计事件的运行时类掩码与配置的类掩码不匹配,将报告不匹配。

-conf

对内核审计事件到类映射进行配置。运行时类映射将改为与审计事件到类数据库文件中的映射一致。

-getasid

输出当前进程的审计会话 ID。例如:

# auditconfig -getasid
audit session id = 102336
-getaudit

返回当前进程的审计特征。

# auditconfig -getaudit
audit id = abc(666)
process preselection mask = lo(0x1000,0x1000)
terminal id (maj,min,host) = 235,197121,elbow(172.146.89.77)
audit session id = 102336
-getauid

输出当前进程的审计 ID。例如:

# auditconfig -getauid
audit id = abc(666)
-getcar

输出当前的活动根位置(以系统引导时的根位置 [或本地区域根位置] 作为锚点)。例如:

# auditconfig -getcar
current active root = /
-getclass event

显示与指定内核审计事件关联的 preselection 掩码。event 是内核事件编号或事件名称。

-getcond

显示内核审计状况。显示的状况为以下文本字符串之一:auditing,表示审计已启用并处于打开状态(内核审计模块正在构建审计记录并将其排队,审计守护进程正在运行);noaudit,表示审计已启用但处于关闭状态(内核审计模块未构建审计记录,也未对其排队,审计守护进程未运行);disabled,表示尚未启用审计模块(在 system(4) 中排除了该模块)。有关详细信息,请参见 auditd(1M)

-getestate event

对于指定的事件(字符串或事件编号),输出 event 已分配的类。例如:

# auditconfig -getestate 20
audit class mask for event AUE_REBOOT(20) = 0x800
# auditconfig -getestate AUE_RENAME
audit class mask for event AUE_RENAME(42) = 0x30
-getflags

显示用户的缺省 preselection 审计标志。

-getkaudit

获取当前区域的审计特征。例如:

# auditconfig -getkaudit
audit id = unknown(-2)
process preselection mask = lo,na(0x1400,0x1400)
terminal id (maj,min,host) = 0,0,(0.0.0.0)
audit session id = 0

如果未设置 perzone 审计策略,终端 ID 将是全局区域的终端 ID。否则,将是本地区域的终端 ID。

-getkmask

获取当前区域的无归属 preselection 掩码。例如:

# auditconfig -getkmask
audit flags for non-attributable events = lo,na(0x1400,0x1400)

如果未设置审计策略 perzone,则内核掩码是全局区域的内核掩码。否则,它是本地区域的内核掩码。

-getnaflags

显示无归属审计标志。

-getpinfo pid

显示指定进程的审计 ID、preselection 掩码、终端 ID 以及审计会话 ID。

-getplugin [name]

显示有关插件名称的信息。如果未指定 name,则显示所有插件。

[-t] -getpolicy

显示内核审计策略。ahltperzone 策略反映全局区域中的设置。如果设置了 perzone,所有其他策略将反映本地区域的设置。如果未设置 perzone,策略是在计算机范围内应用的。

-getremote [server|[group [connection_group]]]

显示与审计远程服务器有关的信息。如果使用了 server 选项参数,则只会显示通用审计远程服务器配置。如果使用了 group 选项参数,则会显示有关所配置的所有连接组的信息。除了 group 参数以外,如果还指定了 connection_group 名称,则只会显示有关相应连接组的信息。

如果没有使用任何选项参数,则会显示有关通用审计远程服务器配置详细信息和所有连接组的信息。

-getcwd

输出当前工作目录(以系统引导时的区域根位置为锚点)。例如:

# cd /usr/tmp
# auditconfig -getcwd
current working directory = /var/tmp
[-t] -getqbufsz

获取审计队列写入缓冲区大小。例如:

# auditconfig -getqbufsz
no configured audit queue size
audit queue buffer size (bytes) = 1024
[-t] -getqctrl

获取审计队列写入缓冲区大小、审计队列 hiwater 标记、审计队列 lowater 标记、审计队列 prod 间隔(周期)。

# auditconfig -getqctrl
no configured audit queue lowater mark
no configured audit queue hiwater mark
no configured audit queue size
no configured audit queue delay
audit queue hiwater mark (records) = 100
audit queue lowater mark (records) = 10
audit queue buffer size (bytes) = 1024
audit queue delay (ticks) = 20

# auditconfig -setqbufsz 8192
# auditconfig -t -setqbufsz 12288
# auditconfig -setqdelay 20
# auditconfig -t -setqdelay 25
# auditconfig -getqctrl
no configured audit queue lowater mark
no configured audit queue hiwater mark
configured audit queue buffer size (bytes) = 8192
configured audit queue delay (ticks) = 20
active audit queue hiwater mark (records) =     100
active audit queue lowater mark (records) =     10
active audit queue buffer size (bytes) = 12288
active audit queue delay (ticks) = 25
[-t] -getqdelay

获取唤醒审计队列开始输出的间隔。例如:

# auditconfig -getqdelay
no configured audit queue delay
audit queue delay (ticks) = 20
[-t] -getqhiwater

获取阻塞审计记录生成进程时的未传送审计记录的高水位点。例如:

# ./auditconfig -getqhiwater
no configured audit queue hiwater mark
audit queue hiwater mark (records) = 100
[-t] -getqlowater

获取被阻塞的进程继续执行时的未传送审计记录的低水位点。例如:

# auditconfig -getqlowater
no configured audit queue lowater mark
audit queue lowater mark (records) = 10
-getstat

输出当前的审计统计信息。例如:

# auditconfig -getstat
gen nona kern  aud  ctl  enq wrtn wblk rblk drop  tot  mem
910    1  725  184    0  910  910    0  231    0   88   48

有关 -getstat 输出中标题的说明,请参见 auditstat(1M)

-gettid

输出当前进程的审计终端 ID。例如:

# auditconfig -gettid
terminal id (maj,min,host) = 235,197121,elbow(172.146.89.77)
-lsevent

显示当前配置的(运行时)内核和用户级审计事件信息。

-lspolicy

显示内核审计策略以及每个策略的描述。

-setasid session-ID [cmd]

使用指定的 session-ID 执行 shell 或 cmd。例如:

# ./auditconfig -setasid 2000 /bin/ksh
#
# ./auditconfig -getpinfo 104485
audit id = abc(666)
process preselection mask = lo(0x1000,0x1000)
terminal id (maj,min,host) = 235,197121,elbow(172.146.89.77)
audit session id = 2000
-setaudit audit-ID preselect_flags term-ID session-ID [cmd]

使用指定的审计特征执行 shell 或 cmd

-setauid audit-ID [cmd]

执行具有指定 audit–ID 的 shell 或 cmd

-setclass event audit_flag[,audit_flag . . .]

将内核事件 event 映射到 audit_flag 列表指定的类。event 是事件编号或名称。audit_flag 是代表审计类的字符串。有关详细信息,请参见 audit_flags(5)。如果未设置 perzone,此选项仅在全局区域内有效。

-setflags audit_flags

设置用户的缺省 preselection 审计标志;请参见 audit_flags(5)。缺省 preselection 标志将与用户的特定审计标志相结合,共同构成用户的 preselection 审计掩码。

-setkaudit IP-address_type IP_address

将计算机的 IP 地址设置为指定的值。IP-address_typeipv6ipv4

如果未设置 perzone,此选项仅在全局区域内有效。

-setkmask audit_flags

设置计算机的无归属 preselection 标志。

如果未设置 perzone,此选项仅在全局区域内有效。

-setnaflags audit_flags

设置无归属审计标志;请参见 audit_flags(5)。无归属审计标志定义了无法将操作归属到某个验证用户时要审计的事件类。无归属事件的一个示例是登录失败。

-setpmask pid flags

设置指定进程的 preselection 掩码。flags 是标志的 ASCII 表示形式,类似于 audit_flags(5) 中的表示形式。

如果未设置 perzone,此选项仅在全局区域内有效。

-setplugin plugin_name active|inactive [ attributes [qsize]]
-setplugin plugin_name [ active|inactive] attributes [qsize]

将插件 plugin_name 配置为 activeinactive 的。(可选)配置排队等候插件处理的未处理审计记录的属性和数目。请参见相关的审计插件手册页和 auditd(1M)

[-t] -setpolicy [+|-]policy_flag[,policy_flag ...]

设置内核审计策略。策略 policy_flag 是表示审计策略的文本字符串。+ 前缀表示向当前审计策略中添加指定的策略。使用前缀 - 会从当前审计策略中删除指定的策略。只有先在全局区域设置了 perzone 策略,才能在本地区域设置策略。以下是有效的策略标志字符串(auditconfig -lspolicy 还可列出当前有效的审计策略标志字符串):

all

包括应用于当前区域的所有策略。

ahlt

如果发生了无法传送的异步审计事件(因审计队列已达到高水位标记或因资源不足无法构建审计记录),则会调用 panic 并且系统会转储核心文件。缺省情况下,会删除记录并保留已删除记录的计数。

arge

execv(2) 系统调用环境参数包含在审计记录内。缺省情况下不包含此信息。

argv

execv(2) 系统调用参数包括到审计记录中。缺省情况下不包含此信息。

cnt

在审计资源耗尽时不暂停进程,而是删除审计记录并保留已删除记录的计数。缺省情况下,将暂停进程,直到有审计资源可用为止。

group

将辅助组标记包含在审计记录内。缺省情况下,不包含组标记。

none

不包含任何策略。如果不是在全局区域中使用,ahltperzone 策略不会发生改变。

path

将辅助路径标记添加到审计记录内。对于 shell 脚本,这些通常是动态链接共享库或命令解释程序的路径名。缺省情况下,不包括这些标记。

perzone

为每个区域维护单独的配置、队列以及日志并为每个区域执行单独的 auditd(1M) 版本。

public

审计公用文件。缺省情况下,不会对满足公用特征(由 root 用户拥有、可供所有人读取但不是所有人都可以写入)的特定文件审计读取类型的操作。

trail

在每个审计记录中包含尾部标记。缺省情况下,不包括尾部标记。

seq

在每个审计记录中包含序列标记。缺省情况下,不包括序列标记。序列标记将在每个审计记录中附加序列号。

windata_down

在审计记录中包含在窗口之间移动的任何降级数据。仅当系统配置有 Trusted Extensions 时,此策略才可用。缺省情况下,不包括此信息。

windata_up

在审计记录中包括任何在窗口之间移动的已升级数据。仅当系统配置有 Trusted Extensions 时,此策略才可用。缺省情况下,不包括此信息。

zonename

在每个审计记录中包括 zonename 标记。缺省情况下,不包括 zonename 标记。zonename 标记提供审计记录所源自的区域的名称。

-setremote server active|inactive [attributes]
-setremote server [active|inactive] attributes

将主审计远程服务器开关配置为活动或非活动的。如果将其设置为非活动的,则所配置的所有连接组将被视为非活动的。(可选)配置通用审计远程服务器属性。有关更多信息,请参见 ars(5)

-setremote group active|inactive group_name [attributes]
-setremote group [active| inactive] group_name attributes

将审计远程服务器连接组 group_name 配置为活动或非活动的。(可选)配置相应的连接组属性。有关更多信息,请参见 ars(5)

-setremote group create|destroy group_name

创建或销毁审计远程服务器连接组 group_name。有关更多信息,请参见 ars(5)

[-t] -setqbufsz buffer_size

设置审计队列写入缓冲区大小(字节)。零 (0) 表示重置为无配置的值。

[-t] -setqctrl hiwater lowater bufsz interval

设置审计队列写入缓冲区大小(字节)、hiwater 审计记录计数、lowater 审计记录计数以及转醒间隔(周期)。仅当设置了 perzone 时,才在本地区域内有效。零 (0) 表示重置为无配置的值。

[-t] -setqdelay interval

设置审计队列转醒间隔(周期)。该选项决定了内核唤醒审计队列将审计记录写入到审计迹的间隔。仅当设置了 perzone 时,才在本地区域内有效。零 (0) 表示重置为无配置的值。

[-t] -setqhiwater hiwater

设置审计队列中未传送审计记录达到多少时审计记录生成进程将阻塞。仅当设置了 perzone 时,才在本地区域内有效。零 (0) 表示重置为无配置的值。

[-t] -setqlowater lowater

设置审计队列中未传送审计记录达到多少时被阻塞的审计进程将解除阻塞。仅当设置了 perzone 时,才在本地区域内有效。零 (0) 表示重置为无配置的值。

-setsmask asid flags

为具有指定审计会话 ID 的所有进程设置 preselection 掩码。仅当设置了 perzone 时,才在本地区域内有效。

-setstat

重置审计统计信息计数器。仅当设置了 perzone 时,才在本地区域内有效。

-setumask username|auid flags

为具有指定用户名或审计 ID 的所有进程设置 preselection 掩码。仅当设置了 perzone 时,才在本地区域内有效。

示例

示例 1 使用 auditconfig

以下是 auditconfig 命令的示例。

#
# Map kernel audit event number 10 to the "fr" audit class.

# auditconfig -setclass 10 fr

#
# Turn on inclusion of exec arguments in exec audit records.

# auditconfig -setpolicy +argv

示例 2 仅设置未处理审计记录的数目

以下命令序列仅设置排队等候 audit_binfile 插件的未处理审计记录的数目。

# See if audit_binfile is active.
% auditconfig -getplugin audit_binfile

# Set to queue 20 unprocessed audit records.
#
% auditconfig -setplugin audit_binfile "" 20

示例 3 重置队列控制参数

以下命令重置处于活动状态的已配置的队列控制参数。

# Get the audit remote server configuration
auditconfig -getremote

# Change an audit remote server attribute
auditconfig -setremote server \
"listen_address=10.0.0.1,max_startups=10:30:60"

# Create an audit remote server (wild card) connection group
auditconfig -setremote group create egg_farm

# Get a specific audit remote server connection group information
auditconfig -getremote group egg_farm

# Set a connection group attribute, activate the connection group
auditconfig -setremote group active egg_farm \
"hosts=tipo.cz.oracle.com,binfile_dir=/var/audit/ARS"

示例 4 配置审计远程服务器

以下命令用于配置审计远程服务器。

# Get the audit remote server configuration
auditconfig -getremote

# Change an audit remote server attribute
auditconfig -setremote server \
"listen_address=10.0.0.1,max_startups=10:30:60"

# Create an audit remote server (wild card) connection group
auditconfig -setremote group create egg_farm

# Get a specific audit remote server connection group information
auditconfig -getremote group egg_farm

# Set a connection group attribute, activate the connection group
auditconfig -setremote group active egg_farm \
"hosts=tipo.cz.oracle.com,binfile_dir=/var/audit/ARS"

退出状态

0

成功完成。

1

出现错误。

文件

/etc/security/audit_event

存储审计系统中使用的事件定义。

/etc/security/audit_class

存储审计系统中使用的类定义。

属性

有关下列属性的说明,请参见 attributes(5)

属性类型
属性值
可用性
system/core-os
接口稳定性
Committed(已确定)

另请参见

audit(1M)auditd(1M)auditstat(1M)praudit(1M)execv(2)audit_class(4)audit_event(4)system(4)ars(5)attributes(5)audit_binfile(5)audit_flags(5)audit_remote(5)audit_syslog(5)

请参见《《Oracle Solaris 11.1 管理:安全服务》》中有关审计的章节。

附注

如果使用 -setplugin 选项选择了插件输出,使用 -setpolicy +cnt-setqhiwater 选项时的系统行为将略有不同。如果设置了 -setpolicy +cnt,那么即使 audit_binary 插件的输出已停止,仍会继续将数据发送到选定的插件,而暂停磁盘空间释放。如果使用 -setpolicy –cnt,阻塞行为将如上面的“子命令”部分所述。在 auditd 中,队列的高水位标记值作为队列的上限使用,除非通过 qsize 属性进行覆盖,如上面的 -setplugin 选项的说明中所述。

用于修改或显示基于进程的信息的 auditconfig 选项不受 perzone 策略影响。用于修改系统审计数据(如终端 ID 和审计队列参数)的选项仅在全局区域内有效,除非设置了 perzone 策略。如果设置了 perzone,显示的系统审计将反映本地区域。否则,将反映全局区域的设置。

对插件 (-setplugin) 和审计远程服务器 (-setremote) 设置所做的更改要到刷新审计服务之后才会生效(例如变为活动或非活动的,或更改各自的属性)。使用 audit(1M) 可以刷新审计服务。