在网络上启用审计之前,可以修改缺省值以满足站点审计要求。最佳做法是在第一批用户登录之前尽可能定制审计配置。
如果已实现区域,则可以选择从全局区域审计所有区域或单独审计非全局区域。有关概述的信息,请参见审计和 Oracle Solaris 区域。有关规划的信息,请参见规划区域中的审计。有关过程的信息,请参见在区域中配置审计服务。
要配置审计服务,通常使用 auditconfig 子命令。使用这些子命令设置的配置适用于整个系统。
auditconfig -get* 显示以星号 (*) 表示的参数的当前配置,如显示审计服务缺省值中的示例所示。
auditconfig -set* 指定以星号 (*) 表示的参数的值,如 –setflags、–setpolicy 或 –setqctrl。要配置无归属事件的类,请使用 auditconfig setnaflags 子命令。
您也可以定制适用于用户或配置文件而不是整个系统的审计。为每个用户预选的审计类是由 audit_flags 安全属性指定的。这些用户特定值以及系统的预选类确定用户的审计掩码,如进程审计特征中所述。
通过基于每个用户而非基于每个系统预选类,有时可以降低审计对系统性能的影响。此外,您可能还需要审计与系统稍有不同的特定用户。
要配置适用于用户或配置文件的审计,可使用以下命令:
usrattr 显示为用户设置的 audit_flags 值。缺省情况下,仅针对系统范围的设置审计用户。
usermod -K 设置适用于用户的标志。
profile 设置适用于配置文件的标志。
有关 userattr 命令的说明,请参见 userattr(1) 手册页。有关 audit_flags 关键字的说明,请参见 user_attr(4) 手册页。
以下任务列表列出了配置审计的过程。所有任务都是可选的。
|