감사 서비스에서 감사 대기열의 감사 레코드 중 일부나 모두를 syslog 유틸리티에 복사하도록 지시할 수 있습니다. 이진 감사 데이터와 텍스트 요약을 모두 기록할 경우 이진 데이터는 완전한 감사 레코드를 제공하고, 요약은 실시간 검토를 위해 데이터를 필터링합니다.
시작하기 전에
audit_syslog 플러그인을 구성하려면 Audit Configuration 권한 프로파일이 지정된 관리자여야 합니다. syslog 유틸리티를 구성하고 auditlog 파일을 만들려면 root 역할을 맡아야 합니다.
# auditconfig -setplugin audit_syslog \
active p_flags=lo,+as,-ss
항목에는 로그 파일의 위치가 포함됩니다.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# chmod 640 /var/adm/auditlog
# svcs system-log STATE STIME FMRI online Nov_27 svc:/system/system-log:default disabled Nov 27 svc:/system/system-log:rsyslog
# svcadm refresh system/system-log:default
감사 서비스는 새로 고쳐질 때 감사 플러그인 변경 사항을 읽습니다.
# audit -s
감사 서비스는 확장 출력을 생성할 수 있습니다. 로그를 관리하려면 logadm(1M) 매뉴얼 페이지를 참조하십시오.
다음 예에서는 syslog 유틸리티가 사전 선택된 감사 클래스의 하위 세트를 수집합니다. pf 클래스는 Example 3–15에서 만들어졌습니다.
# auditconfig -setnaflags lo,na
# auditconfig -setflags lo,ss
# usermod -K audit_flags=pf:no jdoe
# auditconfig -setplugin audit_syslog \
active p_flags=lo,+na,-ss,+pf
auditconfig 명령에 대한 인수는 시스템에서 모든 로그인/로그아웃, 지정 불가능 및 시스템 상태 감사 레코드의 변경 사항을 수집하도록 지시합니다. audit_syslog 플러그인 항목은 syslog 유틸리티에서 모든 로그인, 성공한 지정 불가능 이벤트 및 시스템의 상태의 실패한 변경 사항을 수집하도록 지시합니다.
jdoe 사용자의 경우 이진 유틸리티가 pfexec 명령에 대한 성공 및 실패한 호출을 수집합니다. syslog 유틸리티는 pfexec 명령에 대해 성공한 호출을 수집합니다.
예 4-12 원격 시스템에 syslog 감사 레코드 두기syslog.conf 파일의 audit.notice 항목이 원격 시스템을 가리키도록 변경할 수 있습니다. 예를 들어, 로컬 시스템의 이름은 sys1.1입니다. 원격 시스템은 remote1입니다.
sys1.1 # cat /etc/syslog.conf … audit.notice @remote1
remote1 시스템에 있는 syslog.conf 파일의 audit.notice 항목은 로그 파일을 가리킵니다.
remote1 # cat /etc/syslog.conf … audit.notice /var/adm/auditlog