Antes de empezar
Si implementa zonas no globales, consulte Planificación de la auditoría en zonas antes de utilizar este procedimiento.
De manera predeterminada, sólo la política cnt está activa.
Utilice el comando auditconfig -lspolicy para ver una descripción de opciones de políticas disponibles.
Para ver los efectos de las opciones de política, consulte Comprensión de la política de auditoría.
Para el efecto de la política cnt, consulte Políticas de auditoría para eventos síncronos y asíncronos.
Para establecer una política de auditoría, consulte Cómo cambiar la política de auditoría.
En la mayoría de las situaciones, la asignación predeterminada es suficiente. Sin embargo, si agrega nuevas clases, cambia las definiciones de clase o determina que un registro de una llamada del sistema específica no es útil, es posible que desee modificar asignaciones de evento-clase.
Para obtener un ejemplo, consulte Cómo cambiar una pertenencia a clase de un evento de auditoría.
La mejor hora para agregar clases de auditoría o cambiar las clases predeterminadas es antes de que los usuarios inicien sesión en el sistema.
Las clases de auditoría que preselecciona con las opciones –setflags y –setnaflags para el comando auditconfig se aplican a todos los usuarios y procesos. Puede preseleccionar una clase para comprobar si es correcta, si tiene fallos o ambas cosas.
Para la lista de clases de auditoría, lea el archivo /etc/security/audit_class.
Si ha decidido que algunos usuarios se deben auditar de manera diferente en el sistema, puede modificar el atributo de seguridad audit_flags para usuarios individuales o para un perfil de derechos. La máscara de preselección de usuario se modifica para los usuarios cuyos indicadores de auditoría se definen explícitamente o a quienes se les asigna un perfil de derechos con indicadores de auditoría explícitos.
Para conocer el procedimiento, consulte Cómo configurar las características de auditoría de un usuario. Para conocer los indicadores de auditoría que están vigentes, consulte Orden de búsqueda para derechos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
La secuencia de comandos audit_warn se ejecuta siempre que el sistema de auditoría detecta una situación que requiere atención administrativa. De manera predeterminada, la secuencia de comandos audit_warn envía un correo electrónico al alias audit_warn y envía un mensaje a la consola.
Para configurar el alias, consulte Cómo configurar el alias de correo electrónico audit_warn.
Dispone de tres opciones.
De manera predeterminada, los registros de auditoría binarios se almacenan localmente. El directorio de almacenamiento predeterminado es /var/audit. Para más opciones de configuración del complemento audit_binfile, consulte Cómo crear sistemas de archivos ZFS para archivos de auditoría.
Envíe registros de auditoría binarios a un repositorio protegido remoto mediante el complemento audit_remote. Debe tener un receptor para los registros. Para conocer los requisitos, consulte Gestión de un repositorio remoto. Para conocer el procedimiento, consulte Cómo enviar archivos de auditoría a un repositorio remoto.
Envíe resúmenes de registros de auditoría a syslog utilizando el complemento audit_syslog. Para conocer el procedimiento, consulte Cómo configurar registros de auditoría syslog.
Para una comparación de formatos syslog y binarios, consulte Logs de auditoría.
Cuando el espacio en disco en un sistema de archivos de auditoría está por debajo del porcentaje de espacio libre mínimo, o límite dinámico, el servicio de auditoría cambia al siguiente directorio de auditoría disponible. A continuación, el servicio envía una advertencia de que el límite variable se ha excedido.
Para ver cómo definir un porcentaje de espacio libre mínimo, consulte el Example 4–7.
En la configuración predeterminada, el complemento audit_binfile está activo y la política –cnt está establecida. En esta configuración, cuando la cola de auditoría de núcleo está completa, el sistema sigue funcionando. El sistema cuenta los registros de auditoría que se descartan, pero no registra los eventos. Para mayor seguridad, puede desactivar la política –cnt y activar la política –ahlt. La política –ahlt detiene el sistema cuando un evento asíncrono no se puede ubicar en la cola de auditoría.
Sin embargo, si la cola audit_binfile está completa y la cola para otro complemento activo no está completa, entonces la cola del núcleo seguirá enviando registros al complemento que no está completo. Cuando la cola audit_binfile pueda aceptar registros nuevamente, el servicio de auditoría volverá a enviarlos allí.
Para ver una explicación de las opciones de política –cnt y –ahlt, consulte Políticas de auditoría para eventos síncronos y asíncronos. Para ver cómo configurar estas opciones de política, consulte el Example 3–10.