Gestion de l'audit dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Affectation de l'espace d'audit pour la piste d'audit

Dans cette procédure, vous utilisez des attributs pour le plug-in audit_binfile pour affecter plus d'espace sur le disque à la piste d'audit.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Déterminez les attributs du plug-in audit_binfile.

    Lisez la section OBJECT ATTRIBUTES de la page de manuel audit_binfile(5).

    # man audit_binfile

...
OBJECT ATTRIBUTES
The p_dir attribute specifies where the audit files will be created.
The directories are listed in the order in which they are to be used.

The p_minfree attribute defines the percentage of free space that the
audit system requires before the audit daemon invokes the audit_warn
script.

The p_fsize attribute defines the maximum size that an audit
file can become before it is automatically closed and a new
audit file is opened. ... The format of the p_fsize value can
be specified as an exact value in bytes or in a human-readable
form with a suffix of  B,  K, M, G, T, P, E, Z (for bytes,
kilobytes, megabytes, gigabytes, terabytes,  petabytes, exabytes,
or zettabytes, respectively). Suffixes of KB, MB, GB, TB, PB, EB,
and ZB are also accepted.
  2. Pour ajouter des répertoires à la piste d'audit, spécifiez l'attribut p_dir.

    Le système de fichiers par défaut est /var/audit.

    # auditconfig -setplugin audit_binfile p_dir=/audit/sys1.1,/var/audit

    La commande ci-dessus définit le système de fichiers /audit/sys1.1 en tant que répertoire principal pour les fichiers d'audit et le système de fichiers par défaut /var/audit en tant que répertoire secondaire. Dans ce scénario, /var/audit est le répertoire de dernier recours. Pour que cette configuration réussisse, le système de fichiers /audit/sys1.1 doit exister.

    Vous avez créé un système de fichiers similaire à la section Création de systèmes de fichiers ZFS pour les fichiers d'audit.

  3. Actualisez le service d'audit.

    La commande auditconfig -setplugin définit la valeur configurée. Cette valeur est une propriété du service d'audit, de sorte qu'elle est restaurée lorsque le service est actualisé ou redémarré. La valeur configurée devient active lorsque le service d'audit est actualisé ou redémarré. Pour plus d'informations sur les valeurs configurées et actives, reportez-vous à la page de manuel auditconfig(1M).

    # audit -s
Exemple 4-3  Limitation de la taille des fichiers pour le plug-in audit_binfile

Dans l'exemple suivant, la taille d'un fichier d'audit binaire est définie sur une taille spécifique. La taille est exprimée en méga-octets.

# auditconfig -setplugin audit_binfile p_fsize=4M

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4M;p_minfree=1;

Par défaut, un fichier d'audit peut augmenter sans limite. Pour créer des fichiers d'audit plus petits, l'administrateur spécifie une limite de taille de fichier de 4 Mo. Le service d'audit crée un nouveau fichier lorsque la limite de taille est atteinte. La limite de taille de fichier entre en vigueur une fois le service d'audit actualisé par l'administrateur.

# audit -s
Exemple 4-4  Définition de périodes de rotation des journaux

Dans l'exemple suivant, une limite de temps est définie pour un fichier d'audit. La limite de temps est exprimée en heures, jours, semaines, mois ou années.

# auditconfig -setplugin audit_binfile "p_age=1w"

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_age=1w;
Queue size: 200

Par défaut, un fichier d'audit n'a pas de limite de temps. Le fichier reste ouvert indéfiniment jusqu'à ce qu'une opération externe entraîne une rotation de fichier. L'administrateur définit la limite de temps du fichier sur une semaine, au-delà de laquelle un nouveau fichier d'audit est ouvert. Pour implémenter les nouvelles limite de temps, l'administrateur actualise le service d'audit.

# audit -s
Exemple 4-5  Spécification de plusieurs modifications d'un plug-in d'audit

Dans l'exemple suivant, l'administrateur d'un système doté d'un débit élevé et d'un pool ZFS volumineux modifie la taille de file d'attente, la taille de fichier binaire et l'avertissement de la limite dépassable du plug-in audit_binfile. L'administrateur autorise les fichiers d'audit à augmenter jusqu'à 4 Go, est averti lorsqu'il reste 2 % du pool ZFS et double la taille autorisée de la file d'attente. La taille par défaut de la file d'attente correspond au seuil supérieur de la file d'attente d'audit du noyau, 100, comme dans active audit queue hiwater mark (records) = 100. Le fichier d'audit est également défini de façon à avoir une limite de temps de 2 semaines.

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=2G;p_minfree=1;

# auditconfig -setplugin audit_binfile \
      "p_minfree=2;p_fsize=4G;p_age=2w" 200

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;p_age=2w;
Queue size: 200

Les spécifications modifiées entrent en vigueur, une fois le service d'audit actualisé par l'administrateur.

# audit -s
Exemple 4-6  Suppression de la taille de la file d'attente d'un plug-in d'audit

Dans l'exemple suivant, la taille de la file d'attente pour le plug-in audit_binfile est supprimée.

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
Queue size: 200

# auditconfig -setplugin audit_binfile "" 0

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;

Les guillemets vides ("") conservent les valeurs d'attribut actuelles. Le 0 final définit la taille de la file d'attente pour le plug-in sur la valeur par défaut.

Le changement de la spécification qsize pour le plug-in entre en vigueur une fois que l'administrateur a actualisé le service d'audit.

# audit -s
Exemple 4-7  Définition d'une limite dépassable pour les avertissements

Dans cet exemple, l'espace libre minimum pour tous les systèmes de fichiers d'audit est défini pour qu'un avertissement soit émis lorsque 2 % du système de fichiers restent disponibles.

# auditconfig -setplugin audit_binfile p_minfree=2

Le pourcentage par défaut est un (1). Pour un pool ZFS volumineux, choisissez un pourcentage raisonnablement faible. Par exemple, 10 % d'un pool de 16 To correspond environ à 16 Go ; l'administrateur de l'audit est averti lorsqu'il reste une grande quantité d'espace sur le disque. La valeur 2 envoie le message audit_warn lorsqu'il reste environ 2 Go d'espace sur le disque.

L'alias électronique audit_warn reçoit l'avertissement. Pour configurer l'alias, reportez-vous à la section Configuration de l'alias de messagerie audit_warn .

Pour un pool de grande taille, l'administrateur limite également la taille du fichier à 3 Go.

# auditconfig -setplugin audit_binfile p_fsize=3G

Les spécifications p_minfree et p_fsize pour le plug-in entrent en vigueur lorsque l'administrateur actualise le service d'audit.

# audit -s
Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant