如果系统包含非全局区域,可通过审计全局区域来审计这些区域,或者可以单独为每个非全局区域配置、启用和禁用审计服务。例如,您可以仅审计非全局区域,而不审计全局区域。
有关如何权衡选择的介绍,请参见装有 Oracle Solaris 区域的系统上的审计。
在区域中实现审计时,可使用以下选项。
以相同方式审计所有区域时,可创建单映像审计迹。使用 audit_binfile 或 audit_remote 插件且系统上的所有区域都属于一个管理域时,会出现单映像审计迹。然后,可以很容易地比较审计记录,因为每个区域的记录都以相同的设置预选。
该配置将所有区域视为一个系统的组成部分。全局区域在一个系统上只运行一个审计服务,并收集所有区域的审计记录。您只能在全局区域中定制 audit_class 和 audit_event 文件,然后将这些文件复制到各个非全局区域。
对所有区域配置一个审计服务时,请使用以下指导原则。
对每个区域使用相同的命名服务。
启用包括区域名称在内的审计记录。
要使区域名称成为审计记录的一部分,请在全局区域中设置 zonename 策略。然后,可以使用 auditreduce 命令按区域从审计迹中选择审计事件。有关示例,请参见 auditreduce(1M) 手册页。
要规划单映像审计迹,请参阅如何规划要审计的对象及内容。从第一步开始。全局区域管理员还必须留出部分存储,如如何规划审计记录的磁盘空间中所述。
如果不同区域使用不同的命名服务数据库,或者区域管理员想要控制他们区域中的审计,请选择配置按区域审计。
配置按区域审计时,需要在全局区域中设置 perzone 审计策略。如果在第一次引导非全局区域之前设置按区域审计,则在第一次引导区域时开始审计。要设置审计策略,请参见如何配置每区域审计。
每个区域管理员为该区域配置审计。
非全局区域管理员可以设置 perzone 和 ahlt 以外的全部策略选项。
每个区域管理员都可以启用或禁用区域中的审计。