| 跳过导航链接 | |
| 退出打印视图 | |
|
手册页第 5 部分:标准、环境和宏 Oracle Solaris 11.1 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
手册页第 5 部分:标准、环境和宏 Oracle Solaris 11.1 Information Library (简体中文) |
- 生成 Solaris 审计日志
/usr/lib/security/audit_binfile.so
用于 Solaris 审计的 audit_binfile 插件模块 /usr/lib/security/audit_binfile.so 可按照 auditconfig(1M) 中的配置将二进制审计数据写入文件;它是 Solaris 审计守护进程 auditd(1M) 的缺省插件。其输出由 audit.log(4) 进行描述。
如果 audit_binfile 插件通过 auditconfig 配置为活动状态,则由 auditd 装入该插件。使用 auditconfig -setplugin 选项可以更改所有与插件相关的配置参数。
下列属性指定 audit_binfile 插件的配置:
dir1[,dir2],.. [,dirn]
将在其中创建审计文件的目录列表。可以指定任何有效可写目录。
一个百分比,用于指示目标 p_dir 上所需的可用空间量。如果可用空间低于此阈值,则审计守护进程 auditd(1M) 将调用 shell 脚本 audit_warn(1M)。如果未指定阈值,则缺省百分比为 1%。
p_fsize 属性定义审计文件在自动关闭并打开一个新审计文件之前可以达到的最大大小。这与审计文件大小等于管理员指定的值时管理员发出 audit -n 命令等效。缺省大小为零 (0),这允许文件一直增长而不受约束。指定的值必须大于 500KB 并小于 16 艾字节 (EB)。所使用的文件系统可能会进一步降低该限制。p_fsize 值的格式可以指定为以字节为单位的确切值,或者使用后缀 B, K, M, G, T, P, E, Z(分别代表字节、KB、MB、GB、TB、PB、EB 和 ZB)以可读的格式指定值。也接受 KB, MB, GB, TB, PB, EB 和 ZB 作为后缀。
使用以下指令可装入 audit_binfile.so,指定用于写入审计日志的目录,并指定每个目录所需可用空间的百分比。
auditconfig -setplugin audit_binfile active \
"p_dir=/var/audit/jedgar/eggplant,/var/audit/jedgar.aux/eggplant,
/var/audit/global/eggplant;p_minfree=20;p_fsize=4.5GB"有关以下属性的说明,请参见 attributes(5):
|
auditconfig(1M)、auditd(1M)、audit_warn(1M)、syslog.conf(4)、attributes(5)
|