/usr/lib/security/audit_binfile.so
Solaris 監査の audit_binfile プラグインモジュール (/usr/lib/security/audit_binfile.so) は、auditconfig (1M) で構成されたとおりに、バイナリ形式の監査データをファイルに書き込みます。これは、Solaris 監査デーモン auditd(1M) 用のデフォルトプラグインです。この出力は audit.log(4) によって書き込まれます。
audit_binfile プラグインが auditconfig によってアクティブとして構成されている場合は、auditd によってロードされます。プラグイン関連のすべての構成パラメータを変更するには、auditconfig –setplugin オプションを使用します。
次の属性は、audit_binfile プラグインの構成を指定します。
dir1[,dir2],.. [,dirn]
監査ファイルが作成されるディレクトリのリストです。有効な書き込み可能ディレクトリを指定できます。
ターゲット p_dir で必要な空き領域を示す割合です。空き領域がこのしきい値を下回ると、監査デーモン auditd(1M) によって、シェルスクリプト audit_warn(1M) が呼び出されます。しきい値が指定されなかった場合、デフォルトは 1% になります。
p_fsize 属性は、監査ファイルが自動的に閉じられ、新しい監査ファイルが開かれるまでの最大サイズを定義します。これは、監査ファイルのサイズが管理者によって指定された値と等しい場合に管理者が audit -n コマンドを発行することと同等です。デフォルトのサイズはゼロ (0) で、ファイルは無制限に増やすことができます。指定された値は、500KB よりも大きく、16 エクサバイト (EB) よりも小さくする必要があります。使用されるファイルシステムは、制限値よりも大幅に小さくなる場合があります。p_fsize 値の形式は、正確な値としてバイト単位で指定することも、B、K、M、G、T、P、E、Z (それぞれ、バイト、キロバイト、メガバイト、ギガバイト、テラバイト、ペタバイト、エクサバイト、またはゼタバイトを表す) のサフィックスを使って人間の読み取り可能な形式で指定することもできます。KB、MB、GB、TB、PB、EB、および ZB のサフィックスも使用できます。
p_age 属性は、監査ファイルが自動的に閉じられて新しい監査ファイルが開かれるよりも前に、監査ファイルが開いたままになっている最長時間を定義します。これは、監査ファイルが構成済みの時間の長さだけ開いていたときに、管理者が audit -n コマンドを発行することと同等です。デフォルトの時間はゼロ (0) で、こうすると、ほかのアクションによってファイルが閉じられるまで、ファイルを開いたままにすることができます。p_age 値の形式は、h、d、w、m、y (時間、日数、週数、月数 (30 日)、年数 (365 日)) という時間の単位を指定する接尾辞を使用した形式で指定できます。
次の指令により、audit_binfile.so がロードされ、監査ログを書き込むためのディレクトリを指定し、ディレクトリあたり必要な空き容量の割合、ログファイルの最大サイズ、およびログファイルの最長有効期間を指定します。
auditconfig -setplugin audit_binfile active \
"p_dir=/var/audit/jedgar/eggplant,/var/audit/jedgar.aux/eggplant,
/var/audit/global/eggplant;p_minfree=20;p_fsize=4.5GB;p_age=1w"
次の属性については、 attributes(5) を参照してください。
|
auditconfig(1M) , auditd(1M) , audit_warn (1M), syslog.conf(4) , attributes (5)