Puede indicar al servicio de auditoría que copie algunos o todos los registros de auditoría de la cola de auditoría en la utilidad syslog. Si registra datos de auditoría binarios y resúmenes de textos, los datos binarios proporcionan un registro completo de auditoría, mientras que los resúmenes filtran los datos para la revisión en tiempo real.
Antes de empezar
Para configurar el complemento audit_syslog, debe convertirse en un administrador con el perfil de derechos de configuración de auditoría asignado. Para configurar la utilidad syslog y crear el archivo auditlog, debe asumir el rol root.
# auditconfig -setplugin audit_syslog \ active p_flags=lo,+as,-ss
La entrada incluye la ubicación del archivo log.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# chmod 640 /var/adm/auditlog
# svcs system-log STATE STIME FMRI online Nov_27 svc:/system/system-log:default disabled Nov 27 svc:/system/system-log:rsyslog
# svcadm refresh system/system-log:default
El servicio de auditoría lee los cambios en el complemento de auditoría tras el refrescamiento.
# audit -s
El servicio de auditoría puede generar muchas salidas. Para gestionar los logs, consulte la página del comando man logadm(1M).
En el siguiente ejemplo, la utilidad syslog recopila un subconjunto de clases de auditoría preseleccionadas. La clase pf se crea en el Example 3–15.
# auditconfig -setnaflags lo,na # auditconfig -setflags lo,ss # usermod -K audit_flags=pf:no jdoe # auditconfig -setplugin audit_syslog \ active p_flags=lo,+na,-ss,+pf
Los argumentos del comando auditconfig indican al sistema que recopile todos los registros de auditoría de inicio y cierre de sesión, no atribuibles y de cambio de estado del sistema. La entrada del complemento audit_syslog indica a la utilidad syslog que recopile todos los inicios de sesión, los eventos no atribuibles con éxito y los cambios de estado del sistema con fallos.
Para el usuario jdoe, la utilidad binaria recopila llamadas correctas e incorrectas para el comando pfexec. La utilidad syslog recopila llamadas con éxito al comando pfexec.
Ejemplo 4-12 Colocación de registros de auditoría syslog en un sistema remotoPuede cambiar la entrada audit.notice en el archivo syslog.conf para que haga referencia a un sistema remoto. En este ejemplo, el nombre del sistema local es sys1.1. El sistema remoto es remote1.
sys1.1 # cat /etc/syslog.conf … audit.notice @remote1
La entrada audit.notice en el archivo syslog.conf del sistema remote1 hace referencia al archivo log.
remote1 # cat /etc/syslog.conf … audit.notice /var/adm/auditlog