开始之前
如果要实现非全局区域,请在使用此过程之前查看规划区域中的审计。
缺省情况下,仅启用 cnt 策略。
使用 auditconfig -lspolicy 命令查看可用策略选项的说明。
有关策略选项的影响,请参见了解审计策略。
有关 cnt 策略的影响,请参见同步事件和异步事件的审计策略。
要设置审计策略,请参见如何更改审计策略。
几乎所有情况下,缺省映射便已够用。但是,如果添加新类、更改类定义或确定特定系统调用的记录没有用处,可能需要修改事件到类的映射。
有关示例,请参见如何更改审计事件的类成员身份。
添加审计类或更改缺省类的最佳时间是在用户登录到系统之前。
在 auditconfig 命令中使用 –setflags 和 –setnaflags 选项预选的审计类适用于所有用户和进程。可以针对成功、失败或两者预选类。
有关审计类的列表,请阅读 /etc/security/audit_class 文件。
如果您确定应当以不同的方式从系统对某些用户进行审计,则可以为个别用户或权限配置文件修改 audit_flags 安全属性。如果已显式为用户设置了审计标志,或者为用户指定了包含显式审计标志的权限配置文件,则会修改用户预选掩码。
有关过程,请参见如何配置用户审计特征。要了解哪些是有效的审计标志值,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的所指定权限的搜索顺序。
每当审计系统检测到需要管理干预的情况时,就会运行 audit_warn 脚本。缺省情况下,audit_warn 脚本会向 audit_warn 别名发送电子邮件,并向控制台发送消息。
要设置别名,请参见如何配置 audit_warn 电子邮件别名。
您有三个选择。
缺省情况下,在本地存储二进制审计记录。缺省存储目录为 /var/audit。要进一步配置 audit_binfile 插件,请参见如何为审计文件创建 ZFS 文件系统。
使用 audit_remote 插件将二进制审计记录以流方式传输到远程的受保护系统信息库。您必须指定记录的接收者。有关要求,请参见管理远程系统信息库。有关过程,请参见如何向远程系统信息库发送审计文件。
使用 audit_syslog 插件将审计记录摘要发送到 syslog。有关过程,请参见如何配置 syslog 审计日志。
有关二进制和 syslog 格式的比较,请参见审计日志。
当审计文件系统上的磁盘空间低于最低空闲空间百分比或软限制时,审计服务将会切换到下一个可用审计目录。然后,服务将发送一条警告,指出已超过软限制。
要了解如何设置最低空闲空间百分比,请参见Example 4–7。
在缺省配置中,audit_binfile 插件处于活动状态,并且设置了 –cnt 策略。在此配置中,内核审计队列已满时,系统将继续工作。系统会对丢弃的审计记录进行计数,但是不会记录事件。要获得更大的安全性,可以禁用 –cnt 策略,然后启用 –ahlt 策略。当异步事件无法放入审计队列时,–ahlt 策略会停止系统。
但是,如果 audit_binfile 队列已满,而另一活动插件的队列未满,则内核队列将继续向未满的插件发送记录。audit_binfile 队列可再次接收记录时,审计服务将恢复向其发送记录。
有关 –cnt 和 –ahlt 策略选项的讨论,请参见同步事件和异步事件的审计策略。要了解如何配置这些策略选项,请参见Example 3–10。