監査はシステムの使用状況を記録します。監査サービスには、監査データの分析を支援するツールが含まれています。
監査サービスについては、Oracle Solaris 11.2 での監査の管理 で説明されています。マニュアルページとそれらへのリンクの一覧については、Oracle Solaris 11.2 での監査の管理 の監査サービスのマニュアルページを参照してください。
多くのセキュアな環境では、次の監査サービス手順が有効です。
監査の構成、監査のレビュー、および監査サービスの起動と停止を行うために、個別の役割を作成します。信頼できるユーザーに役割を割り当てます。
役割の基本として、監査構成、監査レビュー、および監査制御の権利プロファイルを使用します。
役割を作成したり、定義済みの ARMOR 役割を使用したりするには、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 のユーザーへの権利の割り当てを参照してください。
cusa 監査クラスを使用して、すべての管理者を監査します。
cusa 監査クラス内のイベントは、システムのセキュリティー状況に影響を与える管理アクションを対象としています。詳細は、/etc/security/audit_class ファイルを参照してください。手順については、ログイン/ログアウトに加えて重要なイベントを監査する方法を参照してください。
監査レコードを中央サーバーに送信します。
監査リモートサーバー (ARS) と連携して動作するように監査を構成します。
Oracle Solaris 11.2 での監査の管理 の監査ファイルをリモートリポジトリに送信する方法を参照してください。
個別の ZFS プール上の監査レビューファイルシステムに完全な監査ファイルを安全に転送するように、スケジュールを設定します。
syslog ユーティリティーで、選択した監査対象イベントのテキストサマリーをモニターします。
audit_syslog プラグインをアクティブにしてから、記録されたイベントをモニターします。
監査ファイルサイズの制限
audit_binfile プラグインの p_fsize 属性を有効なサイズに設定します。数ある要素の中でも特に、スケジュール、ディスク容量、および cron ジョブ頻度のレビューを考慮してください。
たとえば、Oracle Solaris 11.2 での監査の管理 の監査トレールのための監査領域を割り当てる方法を参照してください。
個別の ZFS プール上の監査レビューファイルシステムに完全な監査ファイルを安全に転送するように、スケジュールを設定します。
監査レビューファイルシステム上の完全な監査ファイルをレビューします。