审计服务由以下参数控制:
可归属事件和无归属事件的类
审计策略
审计插件
队列控制
要显示审计服务缺省值,通常可使用 auditconfig -get* 子命令。该子命令显示以星号 (*) 表示的参数的当前配置,如 –getflags –getpolicy 或 –getqctrl。要显示有关无归属事件的类的信息,请使用 auditconfig -getnaflags 子命令。
有关 auditconfig 命令的更多信息,请参见 auditconfig(1M) 手册页。
以下示例显示了用于显示缺省审计配置设置的相应命令语法。
示例 3-1 显示缺省事件类在本示例中,两个子命令分别用于显示可归属事件和无归属事件的预选类。要查看哪些事件指定给了某一类以及正在记录哪些事件,请运行 auditrecord -c class 命令。
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
lo 是 login/logout 审计类的标志。掩码输出的格式为 (success,failure)。
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)示例 3-2 显示缺省审计策略
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
活动策略是当前策略,但审计服务并不存储该策略值。已配置策略由审计服务存储,因此重新启动审计服务时会恢复该策略。
示例 3-3 显示缺省审计插件$ auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=0;p_minfree=1; Plugin: audit_syslog (inactive) Attributes: p_flags=; Plugin: audit_remote (inactive) Attributes: p_hosts=;p_retries=3;p_timeout=5;
缺省情况下 audit_binfile 插件处于活动状态。
示例 3-4 显示审计队列控制$ auditconfig -getqctrl no configured audit queue hiwater mark no configured audit queue lowater mark no configured audit queue buffer size no configured audit queue delay active audit queue hiwater mark (records) = 100 active audit queue lowater mark (records) = 10 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
活动队列控制是内核当前使用的队列控制。字符串 no configured 表示系统使用的是缺省值。