Le service d'audit est régulé par les paramètres suivants :
Classes d'événements attribuables et non attribuables
Stratégie d'audit
Plug-ins d'audit
Contrôles de file d'attente
Pour afficher les paramètres par défaut du service d'audit, vous devez généralement utiliser la sous-commande auditconfig -get*. Cette sous-commande affiche la configuration actuelle du paramètre qui est représentée par l'astérisque (*), telle que –getflags –getpolicy ou –getqctrl. Pour afficher des informations sur les classes pour les événements non attribuables, utilisez la sous-commande . auditconfig -getnaflags.
Pour plus d'informations sur la commande, auditconfig, reportez-vous à la page de manuel auditconfig(1M).
Les exemples suivants montrent la syntaxe de commande appropriée à utiliser pour afficher les paramètres de configuration d'audit par défaut.
Exemple 3-1 Affichage de la classe par défaut pour les événementsDans cet exemple, deux sous-commandes sont utilisées pour afficher les classes présélectionnées pour les événements attribuables et non attribuables respectivement. Pour afficher les événements qui sont affectés à une classe, et par conséquent, les événements qui sont en cours d'enregistrement, exécutez la commande auditrecord -c class.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
lo est l'indicateur pour la classe d'audit login/logout. Le format de sortie du masque est (success,failure).
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)Exemple 3-2 Affichage de la stratégie d'audit par défaut
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
La stratégie active est la stratégie en cours, mais la valeur de la stratégie n'est pas stockée par le service d'audit. La stratégie configurée est enregistrée par le service d'audit, de sorte qu'elle est restaurée lorsque vous redémarrez le service d'audit.
Exemple 3-3 Affichage des plug-ins d'audit par défaut$ auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=0;p_minfree=1; Plugin: audit_syslog (inactive) Attributes: p_flags=; Plugin: audit_remote (inactive) Attributes: p_hosts=;p_retries=3;p_timeout=5;
Le plug-in audit_binfile est actif par défaut.
Exemple 3-4 Affichage des contrôles de la file d'attente de l'audit$ auditconfig -getqctrl no configured audit queue hiwater mark no configured audit queue lowater mark no configured audit queue buffer size no configured audit queue delay active audit queue hiwater mark (records) = 100 active audit queue lowater mark (records) = 10 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
Le contrôle de la file d'attente actif est celui qui est actuellement utilisé par le noyau. La chaîne no configured indique que le système utilise les valeurs par défaut.