Dans cette procédure, vous utilisez des attributs du plug-in audit_remote pour envoyer la piste d'audit à un référentiel d'audit distant. Pour configurer un référentiel distant sur un système Oracle Solaris, reportez-vous à la section Configuration d'un référentiel distant pour les fichiers d'audit.
Avant de commencer
Vous devez disposer d'un récepteur des fichiers d'audit au niveau du référentiel distant. Vous devez vous connecter en tant qu'administrateur disposant du profil de droits Audit Configuration (configuration d'audit). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
Lisez la section OBJECT ATTRIBUTES de la page de manuel audit_remote(5).
# man audit_remote ... OBJECT ATTRIBUTES The p_hosts attribute specifies the remote servers. You can also specify the port number and the GSS-API mechanism. The p_retries attribute specifies the number of retries for connecting and sending data. The default is 3. The p_timeout attribute specifies the number of seconds in which a connection times out.
Le port par défaut est le port affecté par l'IANAsolaris_audit, 16162/tcp. Le mécanisme par défaut est kerberos_v5. Le délai d'attente par défaut est 5 secondes. Vous pouvez également spécifier une taille de file d'attente pour le plug-in.
Dans cet exemple, le système récepteur utilise un autre port.
# auditconfig -setplugin audit_remote \ p_hosts=ars.example.com:16088:kerberos_v5
Par exemple, la commande suivante indique des valeurs pour tous les attributs facultatifs :
# auditconfig -setplugin audit_remote "p_retries=;p_timeout=3" 300
Par exemple, les commandes suivantes indiquent et vérifient les valeurs du plug-in :
# auditconfig -getplugin audit_remote Plugin: audit_remote (inactive) Attributes: p_hosts=ars.example.com:16088:kerberos_v5;p_retries=5;p_timeout=3; Queue size: 300 # auditconfig -setplugin audit_remote active
Le service d'audit lit la modification du plug-in d'audit lors de l'actualisation.
# audit -s
Dans cet exemple, la file d'attente d'audit est saturée derrière le plug-in audit_remote . Ce système audité est configuré pour auditer de nombreuses classes et effectue la transmission sur un réseau lent où le trafic est intense. L'administrateur accroît la taille de tampon du plug-in pour permettre l'augmentation de la taille de la file d'attente et éviter le dépassement de la limite du tampon avant que les enregistrements ne soient supprimés de la file.
audsys1 # auditconfig -setplugin audit_remote "" 1000 audsys1 # audit -s