이 절차에서는 audit_binfile 플러그인에 대한 속성을 사용하여 감사 추적에 추가 디스크 공간을 지정합니다.
시작하기 전에
Audit Configuration 권한 프로파일이 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
audit_binfile(5) 매뉴얼 페이지의 OBJECT ATTRIBUTES 절을 참조하십시오.
# man audit_binfile ... OBJECT ATTRIBUTES The p_dir attribute specifies where the audit files will be created. The directories are listed in the order in which they are to be used. The p_minfree attribute defines the percentage of free space that the audit system requires before the audit daemon invokes the audit_warn script. The p_fsize attribute defines the maximum size that an audit file can become before it is automatically closed and a new audit file is opened. ... The format of the p_fsize value can be specified as an exact value in bytes or in a human-readable form with a suffix of B, K, M, G, T, P, E, Z (for bytes, kilobytes, megabytes, gigabytes, terabytes, petabytes, exabytes, or zettabytes, respectively). Suffixes of KB, MB, GB, TB, PB, EB, and ZB are also accepted.
기본 파일 시스템은 /var/audit입니다.
# auditconfig -setplugin audit_binfile p_dir=/audit/sys1.1,/var/audit
위의 명령은 /audit/sys1.1 파일 시스템을 감사 파일에 대한 기본 디렉토리로 설정하고 기본 /var/audit 파일 시스템을 보조 디렉토리로 설정합니다. 이 시나리오에서는 /var/audit가 마지막 의존 디렉토리입니다. 이 구성이 성공하려면 /audit/sys1.1 파일 시스템이 존재해야 합니다.
감사 파일에 대한 ZFS 파일 시스템을 만드는 방법에서 유사한 파일 시스템을 만들었습니다.
auditconfig -setplugin 명령은 구성된 값을 설정합니다. 이 값은 감사 서비스의 등록 정보이므로 서비스를 새로 고치거나 다시 시작해도 복원됩니다. 감사 서비스가 새로 고쳐지거나 다시 시작되면 구성된 값이 활성이 됩니다. 구성된 값 및 활성 값에 대한 자세한 내용은 auditconfig(1M) 매뉴얼 페이지를 참조하십시오.
# audit -s
다음 예에서는 이진 감사 파일의 크기가 특정 크기로 설정됩니다. 크기는 메가바이트로 지정됩니다.
# auditconfig -setplugin audit_binfile p_fsize=4M # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4M;p_minfree=1;
기본적으로 감사 파일은 무제한으로 커질 수 있습니다. 더 작은 감사 파일을 만들기 위해 관리자는 4MB의 파일 크기 제한을 지정합니다. 제한 크기에 도달하면 감사 서비스는 새 파일을 만듭니다. 파일 크기 제한은 관리자가 감사 서비스를 새로 고친 후 적용됩니다.
# audit -s예 4-4 로그 교체를 위한 시간 지정
다음 예제에서는 감사 파일에 대한 시간 제한이 설정되어 있습니다. 시간 제한은 시간, 일, 주, 월 또는 연 단위로 지정됩니다.
# auditconfig -setplugin audit_binfile "p_age=1w" # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_age=1w; Queue size: 200
기본적으로 감사 파일은 시간 제한이 없습니다. 파일은 외부 작업으로 인해 파일 교체가 수행될 때까지 무기한 열린 상태로 유지됩니다. 관리자는 파일의 시간 제한을 1주로 설정합니다. 이 기간이 지나면 새 감사 파일이 열립니다. 새로운 시간 제한을 구현하려면 관리자가 감사 서비스를 새로 고칩니다.
# audit -s예 4-5 감사 플러그인에 여러 변경 사항 지정
다음 예에서는 처리량이 많고 ZFS 풀이 큰 시스템의 관리자가 audit_binfile 플러그인에 대한 대기열 크기, 이진 파일 크기 및 소프트 제한 경고를 변경합니다. 관리자는 감사 파일이 4GB까지 커질 수 있도록 허용하고, ZFS 풀의 2%가 남으면 경고를 받으며, 허용된 할당량 크기를 두 배로 늘립니다. 기본 대기열 크기는 active audit queue hiwater mark (records) = 100과 같이 커널 감사 대기열에 대한 고수위 마크인 100입니다. 또한 감사 파일의 시간 제한은 2주로 설정됩니다.
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=2G;p_minfree=1;
# auditconfig -setplugin audit_binfile \
"p_minfree=2;p_fsize=4G;p_age=2w" 200
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;p_age=2w;
Queue size: 200
변경된 지정 사항은 관리자가 감사 서비스를 새로 고친 후 적용됩니다.
# audit -s예 4-6 감사 플러그인에 대한 대기열 크기 제거
다음 예에서는 audit_binfile 플러그인에 대한 대기열 크기가 제거됩니다.
# auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Queue size: 200 # auditconfig -setplugin audit_binfile "" 0 # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
비어 있는 따옴표("")는 현재 속성 값을 보존합니다. 마지막 0은 플러그인의 대기열 크기를 기본값으로 설정합니다.
플러그인에 대한 qsize 지정 변경 사항은 관리자가 감사 서비스를 새로 고친 후 적용됩니다.
# audit -s예 4-7 경고에 대한 소프트 제한 설정
이 예에서는 모든 감사 파일 시스템에 대한 최소 사용 가능 공간 레벨을 설정하여 파일 시스템의 2%를 아직 사용할 수 있을 때 경고를 보냅니다.
# auditconfig -setplugin audit_binfile p_minfree=2
기본값은 1%입니다. 대형 ZFS 풀의 경우 적당히 낮은 백분율을 선택합니다. 예를 들어, 16TB 풀의 10%는 16GB이므로 충분한 디스크 공간이 남아 있을 때 감사 관리자에게 경고를 보내게 됩니다. 값이 2이면 약 2GB의 디스크 공간이 남아 있을 때 audit_warn 메시지를 보냅니다.
audit_warn 전자 메일 별칭이 경고를 수신합니다. 별칭을 설정하려면 audit_warn 전자 메일 별칭을 구성하는 방법을 참조하십시오.
또한 대형 풀의 경우 관리자는 파일 크기를 3GB로 제한할 수 있습니다.
# auditconfig -setplugin audit_binfile p_fsize=3G
플러그인에 대한 p_minfree 및 p_fsize 지정 사항은 관리자가 감사 서비스를 새로 고친 후 적용됩니다.
# audit -s