この手順では、audit_binfile プラグインの属性を使用して、監査トレールに追加のディスク容量を割り当てます。
始める前に
Audit Configuration 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
audit_binfile (5) のマニュアルページの「オブジェクト属性」のセクションを参照してください。
# man audit_binfile ... OBJECT ATTRIBUTES The p_dir attribute specifies where the audit files will be created. The directories are listed in the order in which they are to be used. The p_minfree attribute defines the percentage of free space that the audit system requires before the audit daemon invokes the audit_warn script. The p_fsize attribute defines the maximum size that an audit file can become before it is automatically closed and a new audit file is opened. ... The format of the p_fsize value can be specified as an exact value in bytes or in a human-readable form with a suffix of B, K, M, G, T, P, E, Z (for bytes, kilobytes, megabytes, gigabytes, terabytes, petabytes, exabytes, or zettabytes, respectively). Suffixes of KB, MB, GB, TB, PB, EB, and ZB are also accepted.
デフォルトのファイルシステムは /var/audit です。
# auditconfig -setplugin audit_binfile p_dir=/audit/sys1.1,/var/audit
前のコマンドは、/audit/sys1.1 ファイルシステムを監査ファイルのプライマリディレクトリとして、またデフォルトの /var/audit ファイルシステムをセカンダリディレクトリとして設定します。このシナリオでは、/var/audit は最後の手段としてのディレクトリです。この構成を成功させるには、/audit/sys1.1 ファイルシステムが存在する必要があります。
監査ファイルのための ZFS ファイルシステムを作成する方法でも同様のファイルシステムが作成されています。
auditconfig -setplugin コマンドは、構成された値を設定します。この値は監査サービスのプロパティーであるため、このサービスがリフレッシュまたは再開されたときに復元されます。構成された値は、監査サービスがリフレッシュまたは再開されたときにアクティブになります。構成された値とアクティブな値については、auditconfig(1M) のマニュアルページを参照してください。
# audit -s
次の例では、バイナリ監査ファイルのサイズが特定のサイズに設定されます。このサイズは M バイト単位で指定されます。
# auditconfig -setplugin audit_binfile p_fsize=4M # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4M;p_minfree=1;
デフォルトでは、監査ファイルは無制限に拡大できます。作成する監査ファイルを小さくするために、管理者は 4M バイトのファイルサイズ制限を指定します。このサイズ制限に達すると、監査サービスは新しいファイルを作成します。このファイルサイズ制限は、管理者が監査サービスをリフレッシュしたあとに有効になります。
# audit -s使用例 4-4 ログローテーションの時間の指定
次の例では、監査ファイルに時間制限が設定されています。時間制限は時間、日付、週、または月の単位で指定されます。
# auditconfig -setplugin audit_binfile "p_age=1w" # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_age=1w; Queue size: 200
デフォルトでは、監査ファイルに時間制限が設定されていません。外部操作でファイルのローテーションが発生するまで、ファイルは無期限に開いたままです。管理者がファイルの時間制限を 1 週間に設定しても、新しい監査ファイルは開いたままです。新しい時間制限を実装するには、管理者は監査サービスをリフレッシュします。
# audit -s使用例 4-5 監査プラグインに対するいくつかの変更を指定する
次の例では、高いスループットと大規模な ZFS プールを備えたシステム上の管理者が、audit_binfile プラグインのキューサイズ、バイナリファイルのサイズ、および弱い制限値の警告を変更します。管理者は、監査ファイルを 4G バイトまで拡大できるようにし、ZFS プールの残りが 2% になったら警告を受信するようにし、許可されるキューサイズを 2 倍にします。デフォルトのキューサイズは、active audit queue hiwater mark (records) = 100 にあるように、カーネル監査キューの高位境界値 100 になります。また、監査ファイルの時間制限が 2 週間に設定されています。
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=2G;p_minfree=1;
# auditconfig -setplugin audit_binfile \
"p_minfree=2;p_fsize=4G;p_age=2w" 200
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;p_age=2w;
Queue size: 200
変更した指定は、管理者が監査サービスをリフレッシュしたあとに有効になります。
# audit -s使用例 4-6 監査プラグインのキューサイズを削除する
次の例では、audit_binfile プラグインのキューサイ が削除されます。
# auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Queue size: 200 # auditconfig -setplugin audit_binfile "" 0 # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
空の引用符 ("") によって、現在の属性値が保持されます。最後の 0 は、プラグインのキューサイズをデフォルトに設定します。
プラグインに対する qsize の指定の変更は、管理者が監査サービスをリフレッシュしたあとに有効になります。
# audit -s使用例 4-7 警告のための弱い制限値を設定する
この例では、ファイルシステムの 2% がまだ使用可能なときに警告が発行されるように、すべての監査ファイルシステムの最小空き容量のレベルが設定されます。
# auditconfig -setplugin audit_binfile p_minfree=2
デフォルトの割合 (%) は 1 です。大規模な ZFS プールの場合は、適度に低い割合を選択します。たとえば、16T バイトプールの 10% は約 16G バイトであり、これにより、大量のディスク容量が残っているときに監査管理者に警告が通知されます。2 の値を指定すると、約 2G バイトのディスク容量が残っているときに audit_warn メッセージが送信されます。
audit_warn 電子メールエイリアスが警告を受信します。エイリアスを設定するには、audit_warn 電子メールエイリアスの構成方法を参照してください。
大規模なプールの場合、管理者はファイルサイズも 3G バイトに制限します。
# auditconfig -setplugin audit_binfile p_fsize=3G
プラグインに対する p_minfree と p_fsize の指定は、管理者が監査サービスをリフレッシュしたあとに有効になります。
# audit -s