El servicio de auditoría está regulado por los siguientes parámetros:
Clases de eventos atribuibles y no atribuibles
Política de auditoría
Complementos de auditoría
Controles de colas
Para mostrar los valores predeterminados del servicio de auditoría, se suele utilizar el subcomando auditconfig -get*. Este subcomando muestra la configuración actual del parámetro que está representado por el asterisco (*), como –getflags –getpolicy o –getqctrl. Para mostrar información sobre las clases de eventos no atribuibles, utilice el subcomando auditconfig -getnaflags.
Para obtener más información sobre el comando auditconfig, consulte la página del comando man auditconfig(1M).
Los siguientes ejemplos muestran la sintaxis de comando adecuada que se debe utilizar para mostrar los valores predeterminados de configuración de auditoría.
Ejemplo 3-1 Visualización de clase predeterminada para los eventosEn este ejemplo, se utilizan dos subcomandos para mostrar las clases preseleccionadas para eventos atribuibles y no atribuibles, respectivamente. Para ver qué eventos están asignados a una clase y, por lo tanto, qué eventos se registran, ejecute el comando auditrecord -c clase.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
lo es el indicador para la clase de auditoría login/logout. El formato de la salida de la máscara es (success,failure).
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)Ejemplo 3-2 Visualización de la política de auditoría predeterminada
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
La política activa es la política actual, pero el valor de la política no es almacenado por el servicio de auditoría. La política configurada es almacenada por el servicio de auditoría, por lo que la política se restaura al reiniciar el servicio de auditoría.
Ejemplo 3-3 Visualización de los complementos de auditoría predeterminados$ auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=0;p_minfree=1; Plugin: audit_syslog (inactive) Attributes: p_flags=; Plugin: audit_remote (inactive) Attributes: p_hosts=;p_retries=3;p_timeout=5;
El complemento audit_binfile está activo de manera predeterminada.
Ejemplo 3-4 Visualización de los controles de colas de auditoría$ auditconfig -getqctrl no configured audit queue hiwater mark no configured audit queue lowater mark no configured audit queue buffer size no configured audit queue delay active audit queue hiwater mark (records) = 100 active audit queue lowater mark (records) = 10 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
El control de colas activo es el control de colas que está siendo utilizado actualmente por el núcleo. La cadena no configured indica que el sistema está utilizando los valores predeterminados.