Esta sección proporciona un ejemplo de cómo configurar e implementar la auditoría de Oracle Solaris. Empieza con la configuración de distintos atributos del servicio de acuerdo con necesidades y requisitos específicos. Después de que la configuración finaliza, el servicio de auditoría se inicia para aplicar los valores de configuración. Cada vez que necesite revisar una configuración de auditoría existente para satisfacer nuevos requisitos, siga la misma secuencia de acciones de este ejemplo:
Configure los parámetros de auditoría.
Refresque el servicio de auditoría.
Verifique la nueva configuración de auditoría.
En primer lugar, el administrador agrega una política temporal.
# auditconfig -t -setpolicy +zonename # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone,zonename
A continuación, el administrador especifica controles de colas.
# auditconfig -setqctrl 200 20 0 0 # auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
A continuación, el administrador especifica atributos de complementos.
Para el complemento audit_binfile, el administrador elimina el valor qsize.
# auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit; p_minfree=2;p_fsize=4G; Queue size: 200 # auditconfig -setplugin audit_binfile "" 0 # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit p_minfree=2;p_fsize=4G;
Para el complemento audit_syslog, el administrador especifica que los eventos de inicio y cierre de sesión con éxito y los archivos ejecutables con fallos se envíen a syslog. qsize para este complemento se define en 150.
# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 150 # auditconfig -getplugin audit_syslog auditconfig -getplugin audit_syslog Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 150
El administrador no configura ni usa el complemento audit_remote.
Luego, el administrador refresca el servicio de auditoría y verifica la configuración.
La política zonename temporal ya no está definida.
# audit -s # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone
Los controles de colas permanecen igual.
# auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
El complemento audit_binfile no tiene un tamaño de cola especificado. El complemento audit_syslog tiene un tamaño de cola especificado.
# auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 50 ...