示例：配置 Oracle Solaris 审计

本节提供了如何配置和实现 Oracle Solaris 审计的示例。它首先根据特定需求和要求配置服务的不同属性。完成配置后，启动审计服务以使配置设置生效。在每次需要修正现有审计配置以满足新的要求时，请遵循此示例中的相同操作顺序：

1. 配置审计参数。

2. 刷新审计服务。

3. 验证新的审计配置。

• 首先，管理员添加临时策略。

  # auditconfig -t -setpolicy +zonename
  # auditconfig -getpolicy
  configured audit policies = ahlt,arge,argv,perzone
  active audit policies = ahlt,arge,argv,perzone,zonename

• 然后，管理员指定队列控制。

  # auditconfig -setqctrl 200 20 0 0
  # auditconfig -getqctrl
  configured audit queue hiwater mark (records) = 200
  configured audit queue lowater mark (records) = 20
  configured audit queue buffer size (bytes) = 8192
  configured audit queue delay (ticks) = 20
  active audit queue hiwater mark (records) = 200
  active audit queue lowater mark (records) = 20
  active audit queue buffer size (bytes) = 8192
  active audit queue delay (ticks) = 20

• 随后，管理员指定插件属性。

  • 对于 audit_binfile 插件，管理员将删除 qsize 值。

    # auditconfig -getplugin audit_binfile
    Plugin: audit_binfile
    Attributes: p_dir=/audit/sys1.1,/var/audit;
    p_minfree=2;p_fsize=4G;
    Queue size: 200
    # auditconfig -setplugin audit_binfile  "" 0
    # auditconfig -getplugin audit_binfile
    Plugin: audit_binfile
    Attributes: p_dir=/audit/sys1.1,/var/audit
    p_minfree=2;p_fsize=4G;

  • 对于 audit_syslog 插件，管理员将指定要发送到 syslog 的成功登录和注销事件以及失败的可执行文件。此插件的 qsize 设置为 150。

    # auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 150
    # auditconfig -getplugin audit_syslog
    auditconfig -getplugin audit_syslog
    Plugin: audit_syslog
    Attributes: p_flags=+lo,-ex;
    Queue size: 150

  • 管理员不配置也不使用 audit_remote 插件。

• 然后，管理员刷新审计服务并验证配置。

  • 不再设置临时 zonename 策略。

    # audit -s
    # auditconfig -getpolicy
    configured audit policies = ahlt,arge,argv,perzone
    active audit policies = ahlt,arge,argv,perzone

  • 队列控制保留原样。

    # auditconfig -getqctrl
    configured audit queue hiwater mark (records) = 200
    configured audit queue lowater mark (records) = 20
    configured audit queue buffer size (bytes) = 8192
    configured audit queue delay (ticks) = 20
    active audit queue hiwater mark (records) = 200
    active audit queue lowater mark (records) = 20
    active audit queue buffer size (bytes) = 8192
    active audit queue delay (ticks) = 20

  • audit_binfile 插件没有指定的队列大小。audit_syslog 插件具有指定的队列大小。

    # auditconfig -getplugin
    Plugin: audit_binfile
    Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
    
    Plugin: audit_syslog
    Attributes: p_flags=+lo,-ex;
    Queue size: 50
    ...