配置审计的方式

在系统配置期间，可以预选要监视的审计记录的类。还可以针对单个用户微调执行审计的程度。下图显示了 Oracle Solaris 审计流程的详细信息。

图 1-1  审计流程

在内核中收集审计数据后，插件会将数据分发到相应位置。

• audit_binfile 插件可将二进制审计记录放置在 /var/audit 文件系统中。缺省情况下，audit_binfile 插件处于活动状态。通过后选工具，可以检查审计迹中感兴趣的部分。

  审计文件可以存储在一个或多个 ZFS 池中。这些池可以位于不同的系统中，也可以位于不同但链接的网络中。相互链接的审计文件集合称为审计迹。

• audit_remote 插件可将受保护链接中的二进制审计记录发送到远程系统信息库。

• audit_syslog 插件可将审计记录的文本摘要发送到 syslog 实用程序。

安装非全局区域的系统可以从全局区域以相同的方式审计所有区域。还可以配置这些系统，使其收集非全局区域中的不同记录。有关更多信息，请参见审计和 Oracle Solaris 区域。