L'audit est activé par défaut. Si vous pensez que l'audit n'a pas été désactivé, mais qu'aucun enregistrement d'audit n'est envoyé au plug-in actif, les raisons peuvent être un ou plusieurs des facteurs abordés dans cette section. Remarque : pour modifier un fichier système, vous devez disposer de l'autorisation solaris.admin.edit/path-to-system-file. Par défaut, le rôle root dispose de cette autorisation.
Pour vérifier si l'audit est en cours d'exécution, utilisez l'une des méthodes suivantes :
Vérifiez la condition d'audit en cours.
La sortie suivante indique que l'audit n'est pas en cours d'exécution :
# auditconfig -getcond audit condition = noaudit
La sortie suivante indique que l'audit est en cours d'exécution :
# auditconfig -getcond audit condition = auditing
Assurez-vous que le service d'audit est en cours d'exécution.
La sortie suivante indique que l'audit n'est pas en cours d'exécution :
# svcs -x auditd svc:/system/auditd:default (Solaris audit daemon) State: disabled since Sun Oct 10 10:10:10 2010 Reason: Disabled by an administrator. See: http://support.oracle.com/msg/SMF-8000-05 See: auditd(1M) See: audit(1M) See: auditconfig(1M) See: audit_flags(5) See: audit_binfile(5) See: audit_syslog(5) See: audit_remote(5) See: /var/svc/log/system-auditd:default.log Impact: This service is not running.
La sortie suivante indique que le service d'audit est en cours d'exécution :
# svcs auditd STATE STIME FMRI online 10:10:10 svc:/system/auditd:default
Si le service d'audit n'est pas activé, activez-le. Pour connaître la procédure, reportez-vous à la section Activation et désactivation du service d'audit.
Utilisez la commande suivante pour vérifier si des plug-ins sont actifs. Au moins un plug-in doit être actif pour que le service d'audit fonctionne.
# audit -v audit: no active plugin found
Si aucun plug-in n'est actif, activez-en un.
# auditconfig -setplugin audit_binfile active # audit -v configuration ok
Vous tentez peut-être d'utiliser une classe d'audit qui n'a pas été définie. Pour obtenir une description de la création de la classe pf, reportez-vous à la section Ajout d'une classe d'audit.
Par exemple, la liste d'indicateurs suivante contient la classe pf, que le logiciel Oracle Solaris n'a pas fournie :
# auditconfig -getflags active user default audit flags = pf,lo(0x0100000000000000,00x0100000000001000) configured user default audit flags = pf,lo(0x0100000000000000,00x0100000000001000)
Si vous ne souhaitez pas définir la classe, exécutez la commande auditconfig -setflags avec des valeurs valides pour réinitialiser les indicateurs actuels. Dans le cas contraire, vérifiez les points suivants lors de la définition d'une classe :
Vérifiez que la classe est définie dans le fichier audit_class.
# grep pf /etc/security/audit_class Verify class exists 0x0100000000000000:pf:profile
Le masque est unique. S'il n'est pas unique, remplacez le masque.
# grep 0x0100000000000000 /etc/security/audit_class Ensure mask is unique 0x0100000000000000:pf:profile
La classe personnalisée que vous utilisez, bien que définie, peut ne pas avoir d'événement associé.
Pour vérifier si des événements sont affectés à la classe personnalisée, utilisez l'une des méthodes suivantes :
# auditconfig -lsevent | egrep " pf|,pf|pf," AUE_PFEXEC 116 pf execve(2) with pfexec enabled
# auditrecord -c pf List of audit events assigned to pf class
Si aucun événement n'est pas affecté à la classe, affectez-y les événements appropriés.