Gestion de l'audit dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Fusion des fichiers d'audit de la piste d'audit

En fusionnant les fichiers d'audit de tous les répertoires d'audit, vous pouvez analyser le contenu de la piste d'audit entière.

Remarque -  Dans la mesure où les horodatages de la piste d'audit sont définis en temps universel (UTC), la date et l'heure doivent être converties au fuseau horaire actuel pour être significatives. Faites-y attention chaque fois que vous manipulez ces fichiers avec des commandes de fichiers standard plutôt qu'avec la commande auditreduce.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Review (vérification d'audit). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Créez un système de fichiers pour stocker les fichiers d'audit fusionnés.

    Afin de diminuer les risques d'atteindre la limite d'espace disque, ce système de fichiers doit se trouver dans un zpool différent des systèmes de fichiers que vous avez créés à la section Création de systèmes de fichiers ZFS pour les fichiers d'audit pour stocker les fichiers d'origine.

  2. Fusionnez les enregistrements d'audit de la piste d'audit.

    Accédez au répertoire de stockage des fichiers d'audit. A partir de ce répertoire, fusionnez les enregistrements d'audit dans un fichier nommé avec un suffixe. Tous les répertoires dans la piste d'audit sur le système local sont fusionnés et sont placés dans ce répertoire.

    # cd audit-storage-directory
# auditreduce -Uppercase-option -O suffix

    Les options majuscules de la commande auditreduce permettent de manipuler les fichiers dans la piste d'audit. Les options majuscules sont les suivantes :

    –A

    Sélectionne tous les fichiers de la piste d'audit.

    –C

    Sélectionne les fichiers complets uniquement.

    –M

    Sélectionne les fichiers avec un suffixe donné. Le suffixe peut être un nom de machine ou un suffixe que vous avez spécifié pour un fichier résumé.

    –O

    Crée un fichier d'audit avec des horodatages de 14 caractères pour l'heure de début et l'heure de fin, avec le suffixe suffix dans le répertoire en cours.

    –R pathname

    Indique que les fichiers d'audit doivent être lus dans pathname, un autre répertoire root d'audit.

    –S server

    Indique que les fichiers d'audit doivent être lus à partir du serveur spécifié.

    Pour obtenir la liste complète des options, reportez-vous à la page de manuel auditreduce(1M).

Exemple 5-15  Copie des fichiers d'audit pour un fichier résumé

Dans l'exemple ci-dessous, un administrateur à qui est affecté le profil de droits System Administrator (administrateur système) copie tous les fichiers de la piste d'audit dans un fichier fusionné sur un système de fichiers différent. Le système de fichiers /var/audit/storage réside sur un disque distinct du système de fichiers /var/audit, le système de fichiers root d'audit.

$ cd /var/audit/storage
$ auditreduce -A -O All
$ ls /var/audit/storage/*All
20100827183214.20100827215318.All

Dans l'exemple suivant, seuls les fichiers complets sont copiés de la piste d'audit dans un fichier fusionné. Le chemin d'accès complet est spécifié comme valeur de l'option –0. Le dernier composant du chemin, Complete, est utilisé comme suffixe.

$ auditreduce -C -O /var/audit/storage/Complete

$ ls /var/audit/storage/*Complete
20100827183214.20100827214217.Complete

Dans l'exemple suivant, grâce à l'ajout de l'option –D, les fichiers d'audit originaux sont supprimés.

$ auditreduce -C -O daily_sys1.1 -D sys1.1

$ ls *sys1.1
20100827183214.20100827214217.daily_sys1.1
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant