La présente section donne un exemple de configuration et d'implémentation de l'audit de Oracle Solaris. Elle commence par la configuration de différents attributs du service en fonction des besoins et exigences spécifiques. Une fois la configuration terminée, le service d'audit est démarré pour appliquer les paramètres de configuration. Chaque fois que vous devez vérifier une configuration d'audit existante pour répondre à de nouveaux besoins, suivez la même séquence d'opérations que dans l'exemple ci-dessous :
Configurez les paramètres d'audit.
Actualisez le service d'audit.
Vérifiez la nouvelle configuration d'audit.
Tout d'abord, l'administrateur ajoute une stratégie temporaire.
# auditconfig -t -setpolicy +zonename # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone,zonename
Ensuite, l'administrateur spécifie les contrôles de file d'attente.
# auditconfig -setqctrl 200 20 0 0 # auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
Ensuite, l'administrateur spécifie les attributs de plug-in.
Pour le plug-in audit_binfile, l'administrateur supprime la valeur qsize.
# auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit; p_minfree=2;p_fsize=4G; Queue size: 200 # auditconfig -setplugin audit_binfile "" 0 # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit p_minfree=2;p_fsize=4G;
Pour le plug-in audit_syslog, l'administrateur indique l'envoi des événements de connexion et de déconnexion et des exécutables qui ont échoué à syslog. La valeur de l'attribut qsize pour ce plug-in est définie sur 150.
# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 150 # auditconfig -getplugin audit_syslog auditconfig -getplugin audit_syslog Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 150
L'administrateur ne configure pas ou n'utilise pas le plug-in audit_remote .
Ensuite, l'administrateur actualise le service d'audit et vérifie la configuration.
La stratégie temporaire zonename n'est plus définie.
# audit -s # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone
Les contrôles de file d'attente restent identiques.
# auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
Le plug-in audit_binfile n'a pas une taille de file d'attente spécifiée. Le plug-in audit_syslog a une taille de file d'attente spécifiée.
# auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 50 ...