Gestion de l'audit dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Configuration des journaux d'audit syslog

Vous pouvez demander au service d'audit de copier tout ou partie des enregistrements d'audit collectés dans la file d'attente de l'audit pour l'utilitaire syslog. Si vous enregistrez les résumés de type texte et de type données d'audit binaires, les données binaires fournissent un enregistrement d'audit complet, tandis que les résumés filtrent les données pour examen en temps réel.

Avant de commencer

Pour configurer le plug-in audit_syslog, vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour configurer l'utilitaire syslog et créer le fichier auditlog, vous devez prendre le rôle root.

  1. Sélectionnez les classes d'audit à envoyer au plug-in audit_syslog et activez le plug-in.
    Remarque -  Les classes d'audit p_flags doivent être présélectionnées en tant que valeurs par défaut du système ou dans les indicateurs d'audit d'un utilisateur ou d'un profil de droits. Les enregistrements ne sont pas collectés pour une classe qui n'est pas présélectionnée. 
    # auditconfig -setplugin audit_syslog \
     active p_flags=lo,+as,-ss
  2. Configurez l'utilitaire syslog.
    1. Ajoutez une entrée audit.notice au fichier syslog.conf.

      L'entrée inclut l'emplacement du fichier journal.

      # cat /etc/syslog.conf

…
audit.notice       /var/adm/auditlog
    2. Créez le fichier journal. 
      # touch /var/adm/auditlog
    3. Définissez les droits d'accès au fichier journal à 640. 
      # chmod 640 /var/adm/auditlog
    4. Vérifiez l'instance de service system-log en cours d'exécution sur le système. 
      # svcs system-log

STATE        STIME      FMRI
online       Nov_27     svc:/system/system-log:default
disabled     Nov 27     svc:/system/system-log:rsyslog
    5. Actualisez les informations de configuration de l'instance de service syslog active. 
      # svcadm refresh system/system-log:default
  3. Actualisez le service d'audit.

    Le service d'audit lit les modifications apportées au plug-in d'audit lors de l'actualisation.

    # audit -s
  4. Archivez régulièrement les fichiers journaux syslog.

    Le service d'audit peut générer une sortie volumineuse. Pour gérer les journaux, reportez-vous à la page de manuel logadm(1M).

Exemple 4-11  Spécification des classes d'audit pour la sortie syslog

Dans l'exemple suivant, l'utilitaire syslog collecte un sous-ensemble des classes d'audit présélectionnées. La classe pf est créée dans l'Example 3–15.

# auditconfig -setnaflags lo,na

# auditconfig -setflags lo,ss

# usermod -K audit_flags=pf:no jdoe

# auditconfig -setplugin audit_syslog \
    active p_flags=lo,+na,-ss,+pf

Les arguments de la commande auditconfig demandent au système de recueillir tous les enregistrements d'audit de connexion/déconnexion, non attribuables et de modification de l'état du système. L'entrée de plug-in audit_syslog. demande à l'utilitaire syslog de recueillir toutes les connexions, les événements non attribuables ayant réussi et les modifications de l'état du système ayant échoué.

Pour l'utilisateur jdoe, l'utilitaire binaire collecte les appels à la commande pfexec ayant réussi et ayant échoué. L'utilitaire syslog collecte les appels réussis à la commande pfexec.

Exemple 4-12  Stockage des enregistrements d'audit syslog sur un système distant

Vous pouvez changer l'entrée audit.notice du fichier syslog.conf afin qu'elle pointe vers un système distant. Dans cet exemple, le nom du système local est sys1.1. Le système distant est remote1.

sys1.1 # cat /etc/syslog.conf

…
audit.notice       @remote1

L'entrée audit.notice du fichier syslog.conf sur le système remote1 pointe vers le fichier journal.

remote1 # cat /etc/syslog.conf

…
audit.notice       /var/adm/auditlog
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant