审计远程服务器 (Audit Remote Server, ARS) 通过一个安全的链路从被审计系统接收审计记录并存储这些记录。
接收依赖于下列配置:
具有特定的审计主体和一种 GSS-API 机制的 Kerberos 领域
包含至少一个已配置的且处于活动状态的连接组的 ARS
连接组中至少有一个被审计系统,并且必须有一个已配置的且处于活动状态的 audit_remote 插件
连接组是在 ARS 的 group 属性中指定的。对于文件管理,group 可以限制审计文件的大小并指定最小空闲空间。指定不同连接组的主要原因是为了在 ARS 上指定不同的存储位置,如Example 4–9中所示。
有关 ARS 的更多信息,请参见 ars(5) 手册页。有关 ARS 配置信息,请参见 auditconfig(1M) 手册页中的 –setremote 选项。
要配置被审计系统,请参见 audit_remote(5) 手册页,以及auditconfig(1M) 手册页中的 –setplugin 选项。