Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo buscar registros de auditoría de los cambios realizados en archivos específicos

Si tiene como objetivo registrar las escrituras de los archivos en comparación con un número limitado de archivos, como /etc/passwd y los archivos en el directorio /etc/default, puede utilizar el comando auditreduce para ubicar los archivos.

Antes de empezar

El rol root puede realizar cada tarea en este procedimiento.

    Si tienen derechos administrativos distribuidos en su organización, tenga en cuenta lo siguiente:

  • Un administrador con el perfil de derechos de configuración de auditoría puede ejecutar el comando auditconfig.

  • Un administrador con el perfil de derechos de revisión de auditoría puede ejecutar el comando auditreduce.

  • Sólo el rol root puede asignar indicadores de auditoría.

Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Realice uno de los siguientes pasos para auditar cambios en archivos.
    • Auditoría de la clase fw.

      Agregar la clase fw a los indicadores de auditoría de un usuario o rol genera menos registros que agregar la clase a la máscara de preselección de auditoría en todo el sistema. Lleve a cabo uno de los pasos siguientes:

      • Agregue la clase fw a roles concretos.

        # rolemod -K audit_flags=fw:no root
        # rolemod -K audit_flags=fw:no sysadm
        # rolemod -K audit_flags=fw:no auditadm
        # rolemod -K audit_flags=fw:no netadm
        
      • Agregue la clase fw a los indicadores de todo el sistema.

        # auditconfig -getflags
        active user default audit flags = lo(0x1000,0x1000)
        configured user default audit flags = lo(0x1000,0x1000)
        
        # auditconfig -setflags lo,fw
        user default audit flags = lo,fw(0x1002,0x1002)
    • Audite escrituras con éxito de archivos.

      Auditar éxitos genera menos registros que auditar fallos y éxitos. Lleve a cabo uno de los pasos siguientes:

      • Agregue la clase +fw a roles concretos.

        # rolemod -K audit_flags=+fw:no root
        # rolemod -K audit_flags=+fw:no sysadm
        # rolemod -K audit_flags=+fw:no auditadm
        # rolemod -K audit_flags=+fw:no netadm
        
      • Agregue la clase +fw a los indicadores de todo el sistema.

        # auditconfig -getflags
        active user default audit flags = lo(0x1000,0x1000)
        configured user default audit flags = lo(0x1000,0x1000)
        
        # auditconfig -setflags lo,+fw
        user default audit flags = lo,+fw(0x1002,0x1000)
  2. Obtenga los registros de auditoría para archivos específicos mediante el comando auditreduce.
    # auditreduce -o file=/etc/passwd,/etc/default -O filechg
    

    El comando auditreduce busca en la pista de auditoría todas las instancias del argumento file. El comando crea un archivo binario con el sufijo filechg que contiene todos los registros que incluyen la ruta de los archivos de interés. Consulte la página del comando man auditreduce(1M) para conocer la sintaxis de la opción –o file= pathname.

  3. Lea el archivo filechg mediante el comando praudit .
    # praudit *filechg