Si votre système comporte des zones non globales, elles peuvent être auditées simultanément avec la zone globale ou bien vous pouvez configurer, activer et désactiver le service d'audit de chaque zone non globale séparément. Par exemple, vous êtes libre de soumettre à l'audit uniquement les zones non globales, pas la zone globale.
Pour une description des compromis, reportez-vous à la section Audit sur un système avec Oracle Solaris Zones.
Les options suivantes sont disponibles lors de l'implémentation de l'audit dans les zones.
L'audit de toutes les zones de façon identique peut créer une piste d'audit à image unique. Une piste d'audit à image unique est créée lorsque vous utilisez le plug-in audit_binfile ou audit_remote et que toutes les zones sur un système font partie d'un même domaine d'administration. Les enregistrements d'audit peuvent ensuite être facilement comparés, car les enregistrements de chaque zone sont présélectionnés avec des paramètres identiques.
Cette configuration traite toutes les zones comme faisant partie d'un système. La zone globale exécute l'unique service d'audit sur un système et recueille les enregistrements d'audit pour chaque zone. Vous pouvez personnaliser les fichiers audit_class et audit_event uniquement dans la zone globale, puis copier ces fichiers dans chaque zone non globale.
Vous devez respecter les conditions suivantes lors de la configuration d'un service d'audit pour l'ensemble des zones.
Utilisez le même service de noms pour chaque zone.
Activez les enregistrements d'audit pour inclure le nom de la zone.
Pour placer le nom de la zone dans le cadre de l'enregistrement d'audit, définissez la stratégie zonename dans la zone globale. La commande auditreduce peut alors sélectionner les événements d'audit par zone dans la piste d'audit. Pour consulter un exemple, reportez-vous à la page de manuel auditreduce(1M).
Pour planifier une piste d'audit à image unique, reportez-vous à la section Planification des personnes et objets à auditer. Commencez à la première étape. L'administrateur de la zone globale doit également réserver du stockage, comme décrit dans la section Planification de l'espace disque pour les enregistrements d'audit.
Sélectionnez l'option de configuration d'audit par zone si différentes zones utilisent différentes bases de données de service de noms ou si les administrateurs de zone souhaitent contrôler l'audit dans leurs zones.
Lors de la configuration de l'audit par zone, vous configurez la stratégie d'audit perzone dans la zone globale. Si une zone non globale n'a pas encore été initialisée au moment de la définition de l'audit par zone, son audit commence à son initialisation initiale. Pour définir la stratégie d'audit, reportez-vous à la section Configuration de l'audit par zone.
Chaque administrateur configure l'audit de la zone qu'il gère.
Un administrateur de zone non globale peut définir toutes les options de stratégie à l'exception de perzone et ahlt.
Chaque administrateur de zone peut activer ou désactiver l'audit dans la zone.
Pour générer des enregistrements qui peuvent être retracés jusqu'à leur zone d'origine lors de la révision, définissez la stratégie d'audit zonename.