La auditoría está activada de manera predeterminada. Si cree que la auditoría no se ha desactivado, pero no se están enviando registros de auditoría al complemento activo, la causa puede ser uno o una combinación de los factores que se describen en esta sección. Tenga en cuenta que, para modificar un sistema de archivos, debe tener asignada la autorización solaris.admin.edit/path-to-system-file. De manera predeterminada, el rol root tiene esta autorización.
Para comprobar si la auditoría se está ejecutando, utilice cualquiera de los siguientes métodos:
Compruebe la condición actual de la auditoría.
La siguiente salida indica que la auditoría no se está ejecutando:
# auditconfig -getcond audit condition = noaudit
La siguiente salida indica que la auditoría se está ejecutando:
# auditconfig -getcond audit condition = auditing
Compruebe que el servicio de auditoría se esté ejecutando.
La siguiente salida indica que la auditoría no se está ejecutando:
# svcs -x auditd svc:/system/auditd:default (Solaris audit daemon) State: disabled since Sun Oct 10 10:10:10 2010 Reason: Disabled by an administrator. See: http://support.oracle.com/msg/SMF-8000-05 See: auditd(1M) See: audit(1M) See: auditconfig(1M) See: audit_flags(5) See: audit_binfile(5) See: audit_syslog(5) See: audit_remote(5) See: /var/svc/log/system-auditd:default.log Impact: This service is not running.
La siguiente salida indica que el servicio de auditoría se está ejecutando:
# svcs auditd STATE STIME FMRI online 10:10:10 svc:/system/auditd:default
Si el servicio de auditoría no se está ejecutando, actívelo. Para conocer el procedimiento, consulte Activación y desactivación del servicio de auditoría.
Use el siguiente comando para comprobar si hay algún complemento activo. Al menos un complemento debe estar activo para que el servicio de auditoría funcione.
# audit -v audit: no active plugin found
Si no hay ningún complemento activo, active uno.
# auditconfig -setplugin audit_binfile active # audit -v configuration ok
Es posible que esté intentando utilizar una clase de auditoría que no se ha definido. Para obtener una descripción de la creación de la clase pf, consulte Cómo agregar una clase de auditoría.
Por ejemplo, la siguiente lista de indicadores contiene la clase pf, que el software Oracle Solaris no entregó:
# auditconfig -getflags active user default audit flags = pf,lo(0x0100000000000000,00x0100000000001000) configured user default audit flags = pf,lo(0x0100000000000000,00x0100000000001000)
Si no desea definir la clase, ejecute el comando auditconfig -setflags con los valores válidos para restablecer los indicadores actuales. De lo contrario, asegúrese de lo siguiente al definir una clase:
La clase de auditoría está definida en el archivo audit_class.
# grep pf /etc/security/audit_class Verify class exists 0x0100000000000000:pf:profile
La máscara es única. Si no es única, reemplace la máscara.
# grep 0x0100000000000000 /etc/security/audit_class Ensure mask is unique 0x0100000000000000:pf:profile
Es posible que la clase personalizada que está utilizando, aunque esté definida, no tenga ningún evento asignado.
Para verificar si hay eventos asignados a la clase personalizada, utilice uno de los siguientes métodos:
# auditconfig -lsevent | egrep " pf|,pf|pf," AUE_PFEXEC 116 pf execve(2) with pfexec enabled
# auditrecord -c pf List of audit events assigned to pf class
Si los eventos no están asignados a la clase, asigne los eventos adecuados a esta clase.