Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo asignar espacio de auditoría para la pista de auditoría

En este procedimiento, utilice atributos para el complemento audit_binfile con el fin de asignar espacio en disco adicional a la pista de auditoría.

Antes de empezar

Debe convertirse en un administrador con el perfil de derechos de configuración de auditoría asignado. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Determine los atributos para el complemento audit_binfile.

    Lea la sección OBJECT ATTRIBUTES de la página del comando man audit_binfile(5).

    # man audit_binfile
    
    ...
    OBJECT ATTRIBUTES
    The p_dir attribute specifies where the audit files will be created.
    The directories are listed in the order in which they are to be used.
    
    The p_minfree attribute defines the percentage of free space that the
    audit system requires before the audit daemon invokes the audit_warn
    script.
    
    The p_fsize attribute defines the maximum size that an audit
    file can become before it is automatically closed and a new
    audit file is opened. ... The format of the p_fsize value can
    be specified as an exact value in bytes or in a human-readable
    form with a suffix of  B,  K, M, G, T, P, E, Z (for bytes,
    kilobytes, megabytes, gigabytes, terabytes,  petabytes, exabytes,
    or zettabytes, respectively). Suffixes of KB, MB, GB, TB, PB, EB,
    and ZB are also accepted.
  2. Para agregar directorios a la pista de auditoría, especifique el atributo p_dir.

    El sistema de archivos predeterminado es /var/audit.

    # auditconfig -setplugin audit_binfile p_dir=/audit/sys1.1,/var/audit
    

    El comando anterior establece el sistema de archivos /audit/sys1.1 como el directorio principal para archivos de auditoría y el sistema de archivos /var/audit como el directorio secundario. En este escenario, /var/audit es el directorio de último recurso. Para que esta configuración se realice correctamente, el sistema de archivos /audit/sys1.1 debe existir.

    Un sistema de archivos similar se crea en Cómo crear sistemas de archivos ZFS para archivos de auditoría.

  3. Refresque el servicio de auditoría.

    El comando auditconfig -setplugin define el valor configurado. Este valor es una propiedad del servicio de auditoría, por lo que se restaura cuando el servicio se refresca o se reinicia. El valor configurado se convierte en activo cuando el servicio de auditoría se refresca o se actualiza. Para obtener información sobre valores activos y configurados, consulte la página del comando man auditconfig(1M).

    # audit -s
    
Ejemplo 4-3  Limitación de tamaño de archivo para el complemento audit_binfile

En el siguiente ejemplo, el tamaño de un archivo de auditoría binario está establecido en un tamaño específico. El tamaño está especificado en megabytes.

# auditconfig -setplugin audit_binfile p_fsize=4M

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4M;p_minfree=1;

De manera predeterminada, un archivo de auditoría puede crecer sin límite. Para crear archivos de auditoría más pequeños, el administrador especifica un límite de tamaño de archivo de 4 MB. El servicio de auditoría crea un nuevo archivo cuando se alcanza el límite de tamaño. El límite de tamaño de archivo entra en vigor después de que el administrador refresca el servicio de auditoría.

# audit -s
Ejemplo 4-4  Especificación del tiempo para la rotación de logs

En el siguiente ejemplo, un límite de tiempo se define para un archivo de auditoría. El límite de tiempo se especifica en términos de horas, días, semanas, meses o años.

# auditconfig -setplugin audit_binfile "p_age=1w"

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_age=1w;
Queue size: 200

De manera predeterminada, un archivo de auditoría no tiene ningún límite de tiempo. El archivo permanece abierto indefinidamente hasta que una operación externa provoca una rotación de archivos. El administrador define el límite de tiempo del archivo a una semana, después de la cual se abre un nuevo archivo de auditoría. Para implementar el nuevo límite de tiempo, el administrador refresca el servicio de auditoría.

# audit -s
Ejemplo 4-5  Especificación de varios cambios para un complemento de auditoría

En el siguiente ejemplo, el administrador en un sistema con un alto rendimiento y una agrupación ZFS grande cambia el tamaño de la cola, el tamaño del archivo binario y la advertencia del límite variable para el complemento audit_binfile. El administrador permite que los archivos de auditoría crezcan a 4 GB, es advertido cuando queda un 2% de la agrupación ZFS y duplica el tamaño de la cola permitido. El tamaño predeterminado de la cola es la marca de agua superior para la cola de la auditoría del núcleo, 100, como en active audit queue hiwater mark (records) = 100. También se configura el archivo de auditoría para que tenga un límite de tiempo de 2 semanas.

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=2G;p_minfree=1;

# auditconfig -setplugin audit_binfile \
      "p_minfree=2;p_fsize=4G;p_age=2w" 200

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;p_age=2w;
Queue size: 200

Las especificaciones cambiadas entran en vigor después de que el administrador refresca el servicio de auditoría.

# audit -s
Ejemplo 4-6  Eliminación del tamaño de la cola de un complemento de auditoría

En el siguiente ejemplo, se elimina el tamaño de la cola para el complemento audit_binfile.

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
Queue size: 200

# auditconfig -setplugin audit_binfile "" 0

# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;

Las comillas vacías ("") conservan los valores de atributo actuales. Un 0 al final, establece el tamaño de la cola para el complemento en el valor predeterminado.

El cambio en la especificación qsize para el complemento entra en vigor después de que el administrador refresca el servicio de auditoría.

# audit -s
Ejemplo 4-7  Definición de un límite variable para advertencias

En este ejemplo, está configurado el nivel mínimo de espacio libre para todos los sistemas de archivos de auditoría, de modo que se emite una advertencia cuando aún queda disponible el 2 % del sistema de archivos.

# auditconfig -setplugin audit_binfile p_minfree=2

El porcentaje predeterminado es uno (1). Para una agrupación ZFS grande, seleccione un porcentaje razonablemente bajo. Por ejemplo, el 10 % de 16 TB es aproximadamente 16 GB, lo que advertiría al administrador de la auditoría cuando queda bastante espacio en disco. Un valor de 2 envía el mensaje audit_warn cuando quedan aproximadamente 2 GB de espacio en disco.

El alias de correo electrónico audit_warn recibe la advertencia. Para configurar el alias, consulte Cómo configurar el alias de correo electrónico audit_warn.

Para una agrupación grande, el administrador también limita el tamaño del archivo a 3 GB.

# auditconfig -setplugin audit_binfile p_fsize=3G

Las especificaciones p_minfree y p_fsize para el complemento entran en vigor después de que el administrador refresca el servicio de auditoría.

# audit -s