Gestion de l'audit dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Contrôle du dépassement de la piste d'audit

Si votre stratégie de sécurité exige que toutes les données d'audit soient enregistrées, empêchez la perte d'enregistrement d'audit en observant les règles de bonne pratique suivantes.

Remarque -  Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  • Définissez une taille libre minimale sur le plug-in audit_binfile.

    Utilisez l'attribut p_minfree.

    L'alias de messagerie audit_warn envoie un avertissement lorsque l'espace disque remplit la taille libre minimale. Voir l'Example 4–7.

  • Planifiez l'archivage régulier des fichiers d'audit.

    Archivez les fichiers d'audit en sauvegardant les fichiers sur un média hors ligne. Vous pouvez également déplacer les fichiers vers un système de fichiers d'archive.

    Si vous collectez des journaux d'audit au format texte avec l'utilitaire syslog, archivez les journaux au format texte. Pour plus d'informations, reportez-vous à la page de manuel logadm(1M).

  • Planifiez la suppression des fichiers d'audit archivés du système de fichiers d'audit.

  • Enregistrez et stockez les informations auxiliaires.

    Archivez les informations nécessaires pour interpréter les enregistrements d'audit ainsi que de la piste d'audit. Au minimum, vous enregistrez les fichiers passwd, group et hosts. Vous pouvez également archiver les fichiers audit_event et audit_class.

  • Consignez les fichiers d'audit qui ont été archivés.

  • Stockez correctement le média d'archivage.

  • Réduisez la capacité requise du système de fichiers en activant la compression ZFS.

    Sur un système de fichiers ZFS dédié aux fichiers d'audit, la compression réduit la taille des fichiers de manière significative. Pour obtenir un exemple, reportez-vous à la section Compression des fichiers d'audit sur un système de fichiers dédié.

    Reportez-vous également à la section Interactions entre les propriétés de compression, de suppression des doublons et de chiffrement ZFS du manuel Gestion des systèmes de fichiers ZFS dans OracleSolaris 11.2 .

  • Réduisez le volume des données d'audit que vous pouvez stocker en créant des fichiers résumé.

    Vous pouvez extraire des fichiers résumés de la piste d'audit à l'aide d'options de la commande auditreduce. Les fichiers résumés contiennent uniquement les enregistrements de types spécifiés d'événements d'audit. Pour extraire les fichiers résumés, reportez-vous aux Example 5–4 etExample 5–6.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant