Bei der Prüfung werden Details zu der Art und Weise aufgezeichnet, in der das System verwendet wurde. Der Prüfservice bietet Tools für die Analyse der Prüfdaten.
Der Prüfservice wird in Managing Auditing in Oracle Solaris 11.2 erläutert. Eine Liste der Manpages mit den entsprechenden Links finden Sie unter Audit Service Man Pages in Managing Auditing in Oracle Solaris 11.2 .
Die folgenden Prüfserviceverfahren erweisen sich in zahlreichen sicheren Umgebungen als nützlich:
Erstellen Sie separate Rollen, um die Prüfung zu konfigurieren und einzusehen sowie den Prüfservice zu starten oder zu beenden. Weisen Sie die Rollen vertrauenswürdigen Benutzern zu.
Verwenden Sie die Rechteprofile "Audit Configuration", "Audit Review" und "Audit Control" als Grundlage für Ihre Rollen.
Informationen zur Erstellung von Rollen oder zur Verwendung der vordefinierten ARMOR-Rollen finden Sie unter Assigning Rights to Users in Securing Users and Processes in Oracle Solaris 11.2 .
Prüfen Sie alle Administratoren mit der cusa-Prüfklasse.
Ereignisse in der cusa-Prüfklasse umfassen administrative Aktionen, die sich auf die Sicherheitslage des Systems auswirken. Eine Beschreibung finden Sie in der Datei /etc/security/audit_class. Die genaue Vorgehensweise finden Sie unter Wichtige Ereignisse außer Anmelden/Abmelden prüfen.
Senden Sie Prüfdatensätze an einen zentralen Server.
Konfigurieren Sie die Prüfung so, dass diese den Audit Remote Server (ARS) verwendet.
Siehe How to Send Audit Files to a Remote Repository in Managing Auditing in Oracle Solaris 11.2 .
Bereiten Sie die sichere Übertragung kompletter Prüfdateien in ein Dateisystem für die Dateieinsicht auf einem separaten ZFS-Pool vor.
Überwachen Sie Textzusammenfassungen ausgewählter überprüfter Ereignisse im syslog-Dienstprogramm.
Aktivieren Sie das Plug-in audit_syslos und überwachen Sie dann die aufgezeichneten Ereignisse.
Siehe How to Configure syslog Audit Logs in Managing Auditing in Oracle Solaris 11.2 .
Legen Sie Maximalgrößen für die Prüfdateien fest.
Legen Sie dazu das Attribut p_fsize für das Plug-in audit_binfile auf eine angemessene Größe fest. Berücksichtigen Sie neben anderen Faktoren vor allem Ihren Zeitplan für die Einsicht der Prüfdateien, den verfügbaren Festplattenspeicher und die cron-Ausführungshäufigkeit.
Beispiele finden Sie unter How to Assign Audit Space for the Audit Trail in Managing Auditing in Oracle Solaris 11.2 .
Bereiten Sie die sichere Übertragung kompletter Prüfdateien in ein Dateisystem für die Dateieinsicht auf einem separaten ZFS-Pool vor.
Sehen Sie die kompletten Prüfdateien in diesem Dateisystem ein.