시작하기 전에
비전역 영역을 구현하는 경우 이 절차를 사용하기 전에 영역에서 감사 계획을 검토하십시오.
기본적으로 cnt 정책만 사용으로 설정됩니다.
auditconfig -lspolicy 명령을 사용하여 사용 가능한 정책 옵션에 대한 설명을 봅니다.
정책 옵션의 효과는 감사 정책 이해를 참조하십시오.
cnt 정책의 효과는 비동기 및 동기 이벤트에 대한 감사 정책을 참조하십시오.
감사 정책을 설정하려면 감사 정책을 변경하는 방법을 참조하십시오.
거의 모든 상황에서 기본 매핑이면 충분합니다. 하지만 새 클래스를 추가하거나 클래스 정의를 변경하거나 특정 시스템 호출의 레코드가 유용하지 않다고 판단되는 경우 이벤트-클래스 매핑을 수정할 수도 있습니다.
예는 감사 이벤트의 클래스 멤버쉽을 변경하는 방법을 참조하십시오.
감사 클래스를 추가하거나 기본 클래스를 변경하는 가장 좋은 시기는 사용자가 시스템에 로그인하기 전입니다.
auditconfig 명령에 –setflags 및 –setnaflags 옵션을 사용하여 사전 선택하는 감사 클래스는 모든 사용자와 프로세스에 적용됩니다. 성공, 실패 또는 둘 다에 대해 클래스를 사전 선택할 수 있습니다.
감사 클래스 목록은 /etc/security/audit_class 파일을 검토하십시오.
일부 사용자를 시스템과 다르게 감사하도록 결정할 경우에는 개별 사용자 또는 권한 프로파일에 대한 audit_flags 보안 속성을 수정할 수 있습니다. 사용자 사전 선택 마스크는 감사 플래그가 명시적으로 설정되었거나 명시적인 감사 플래그로 권한 프로파일이 지정된 사용자를 위해 수정되었습니다.
절차는 사용자의 감사 특성을 구성하는 방법을 참조하십시오. 적용되는 감사 플래그 값은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 권한 검색 순서를 참조하십시오.
audit_warn 스크립트는 감사 시스템에서 관리 주의가 요구되는 상황을 감지할 때마다 실행됩니다. 기본적으로 audit_warn 스크립트는 전자 메일을 audit_warn 별칭에 보내고 메시지를 콘솔로 보냅니다.
별칭을 설정하려면 audit_warn 전자 메일 별칭을 구성하는 방법을 참조하십시오.
세 가지 옵션이 있습니다.
기본적으로 이진 감사 레코드를 로컬에 저장합니다. 기본 저장소 디렉토리는 /var/audit.입니다 audit_binfile 플러그인을 추가로 구성하려면 감사 파일에 대한 ZFS 파일 시스템을 만드는 방법을 참조하십시오.
audit_remote 플러그인을 사용하여 이진 감사 레코드를 보호된 원격 저장소로 스트리밍합니다. 레코드에 대한 수신자가 있어야 합니다. 요구 사항은 원격 저장소 관리를 참조하십시오. 절차는 원격 저장소에 감사 파일을 보내는 방법을 참조하십시오.
audit_syslog 플러그인을 사용하여 감사 레코드 요약을 syslog에 보냅니다. 절차는 syslog 감사 로그를 구성하는 방법을 참조하십시오.
이진과 syslog 형식에 대한 비교는 감사 로그를 참조하십시오.
감사 파일 시스템의 디스크 공간이 최소 여유 공간 비율 또는 소프트 한계 아래로 떨어지면 감사 서비스는 다음 사용 가능한 감사 디렉토리로 전환합니다. 그런 다음 서비스에서는 소프트 한계를 초과했다는 경고를 보냅니다.
최소 여유 공간 비율을 설정하는 방법을 보려면 Example 4–7을 참조하십시오.
기본 구성에서는 audit_binfile 플러그인이 활성화되고 –cnt 정책이 설정됩니다. 이 구성에서는 커널 감사 대기열이 가득 차면 시스템이 계속 작동합니다. 시스템에서는 삭제되는 감사 레코드 수를 계산하지만 이벤트를 기록하지 않습니다. 더욱 높은 보안을 위해 –cnt 정책을 사용 안함으로 설정하고 –ahlt 정책을 사용으로 설정할 수 있습니다. 비동기 이벤트를 감사 대기열에 둘 수 없으면 –ahlt 정책은 시스템을 중지시킵니다.
하지만 audit_binfile 대기열이 가득 차고 다른 활성 플러그인에 대한 대기열이 가득 차지 않으면 커널 대기열이 가득 차지 않은 플러그인에 계속해서 레코드를 보냅니다. audit_binfile 대기열에서 다시 레코드를 수신할 수 있게 되면 감사 서비스가 레코드 보내기를 재개합니다.
–cnt 및 –ahlt 정책 옵션에 대한 자세한 내용은 비동기 및 동기 이벤트에 대한 감사 정책을 참조하십시오. 이러한 정책 옵션을 구성하는 방법을 보려면 Example 3–10을 참조하십시오.