Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Cómo configurar registros de auditoría syslog

Puede indicar al servicio de auditoría que copie algunos o todos los registros de auditoría de la cola de auditoría en la utilidad syslog. Si registra datos de auditoría binarios y resúmenes de textos, los datos binarios proporcionan un registro completo de auditoría, mientras que los resúmenes filtran los datos para la revisión en tiempo real.

Antes de empezar

Para configurar el complemento audit_syslog, debe convertirse en un administrador con el perfil de derechos de configuración de auditoría asignado. Para configurar la utilidad syslog y crear el archivo auditlog, debe asumir el rol root.

  1. Seleccione las clases de auditoría que se enviarán al complemento audit_syslog y active el complemento.
    Notas -  Las clases de auditoría p_flags deben ser preseleccionadas como valores predeterminados del sistema o en los indicadores de auditoría de un usuario o de un perfil de derechos. Los registros no se recopilan para una clase que no está preseleccionada. 
    # auditconfig -setplugin audit_syslog \
     active p_flags=lo,+as,-ss
  2. Configure la utilidad syslog.
    1. Agregue una entrada audit.notice al archivo syslog.conf.

      La entrada incluye la ubicación del archivo log.

      # cat /etc/syslog.conf

…
audit.notice       /var/adm/auditlog
    2. Cree el archivo log. 
      # touch /var/adm/auditlog
    3. Configure los permisos del archivo log en 640. 
      # chmod 640 /var/adm/auditlog
    4. Compruebe qué instancia del servicio system-log se ejecuta en el sistema. 
      # svcs system-log

STATE        STIME      FMRI
online       Nov_27     svc:/system/system-log:default
disabled     Nov 27     svc:/system/system-log:rsyslog
    5. Refresque la información de configuración para la instancia del servicio syslog activa. 
      # svcadm refresh system/system-log:default
  3. Refresque el servicio de auditoría.

    El servicio de auditoría lee los cambios en el complemento de auditoría tras el refrescamiento.

    # audit -s
  4. Archive con regularidad los archivos log syslog.

    El servicio de auditoría puede generar muchas salidas. Para gestionar los logs, consulte la página del comando man logadm(1M).

Ejemplo 4-11  Especificación de clases de auditoría para salida de syslog

En el siguiente ejemplo, la utilidad syslog recopila un subconjunto de clases de auditoría preseleccionadas. La clase pf se crea en el Example 3–15.

# auditconfig -setnaflags lo,na

# auditconfig -setflags lo,ss

# usermod -K audit_flags=pf:no jdoe

# auditconfig -setplugin audit_syslog \
    active p_flags=lo,+na,-ss,+pf

Los argumentos del comando auditconfig indican al sistema que recopile todos los registros de auditoría de inicio y cierre de sesión, no atribuibles y de cambio de estado del sistema. La entrada del complemento audit_syslog indica a la utilidad syslog que recopile todos los inicios de sesión, los eventos no atribuibles con éxito y los cambios de estado del sistema con fallos.

Para el usuario jdoe, la utilidad binaria recopila llamadas correctas e incorrectas para el comando pfexec. La utilidad syslog recopila llamadas con éxito al comando pfexec.

Ejemplo 4-12  Colocación de registros de auditoría syslog en un sistema remoto

Puede cambiar la entrada audit.notice en el archivo syslog.conf para que haga referencia a un sistema remoto. En este ejemplo, el nombre del sistema local es sys1.1. El sistema remoto es remote1.

sys1.1 # cat /etc/syslog.conf

…
audit.notice       @remote1

La entrada audit.notice en el archivo syslog.conf del sistema remote1 hace referencia al archivo log.

remote1 # cat /etc/syslog.conf

…
audit.notice       /var/adm/auditlog
Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente