在本过程中,使用 audit_binfile 插件的属性将其他磁盘空间指定给审计迹。
开始之前
您必须是指定有 "Audit Configuration"(审计配置)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
阅读 audit_binfile (5) 手册页的 OBJECT ATTRIBUTES 部分。
# man audit_binfile ... OBJECT ATTRIBUTES The p_dir attribute specifies where the audit files will be created. The directories are listed in the order in which they are to be used. The p_minfree attribute defines the percentage of free space that the audit system requires before the audit daemon invokes the audit_warn script. The p_fsize attribute defines the maximum size that an audit file can become before it is automatically closed and a new audit file is opened. ... The format of the p_fsize value can be specified as an exact value in bytes or in a human-readable form with a suffix of B, K, M, G, T, P, E, Z (for bytes, kilobytes, megabytes, gigabytes, terabytes, petabytes, exabytes, or zettabytes, respectively). Suffixes of KB, MB, GB, TB, PB, EB, and ZB are also accepted.
缺省文件系统为 /var/audit。
# auditconfig -setplugin audit_binfile p_dir=/audit/sys1.1,/var/audit
上述命令将 /audit/sys1.1 文件系统设置为审计文件的主目录,将缺省 /var/audit 文件系统设置为辅助目录。在此方案中,/var/audit 是最后考虑采用的目录。要成功完成此配置,/audit/sys1.1 文件系统必须存在。
在如何为审计文件创建 ZFS 文件系统中创建了类似的文件系统。
auditconfig -setplugin 命令设置已配置的值。该值为审计服务的属性,因此刷新或重新启动该服务时会恢复该值。刷新或重新启动审计服务时,已配置的值变为活动状态。有关配置的活动值的信息,请参见 auditconfig(1M) 手册页。
# audit -s
在以下示例中,二进制审计文件的大小设置为特定大小。大小是以兆字节为单位指定的。
# auditconfig -setplugin audit_binfile p_fsize=4M # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4M;p_minfree=1;
缺省情况下,审计文件大小可以无限制地增长。为了创建较小的审计文件,管理员指定文件大小上限为 4 MB。达到大小限制时,审计服务将创建新文件。管理员刷新审计服务后,文件大小限制开始生效。
# audit -s示例 4-4 指定日志轮转时间
在下面的示例中,为审计文件设置了时间限制。时间限制按小时、天、周、月或年来指定。
# auditconfig -setplugin audit_binfile "p_age=1w" # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_age=1w; Queue size: 200
缺省情况下,审计文件没有时间限制。该文件将无限期保持打开状态,直到外部操作使文件轮转为止。管理员将文件的时间限制设置为一周,超过这个时间限制将打开新的审计文件。要实现新的时间限制,管理员需刷新审计服务。
# audit -s示例 4-5 指定对审计插件的多个更改
在以下示例中,具有高吞吐量和大型 ZFS 池的系统上的管理员将更改 audit_binfile 插件的队列大小、二进制文件大小和软限制警告。管理员允许审计文件增长到 4 GB,在 ZFS 池剩余 2% 时收到警告,并将允许的队列大小翻倍。缺省队列大小是内核审计队列的高水位标志 100,如 active audit queue hiwater mark (records) = 100 中所示。还将审计文件的时间限制设置为 2 周。
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=2G;p_minfree=1;
# auditconfig -setplugin audit_binfile \
"p_minfree=2;p_fsize=4G;p_age=2w" 200
# auditconfig -getplugin audit_binfile
Plugin: audit_binfile
Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;p_age=2w;
Queue size: 200
管理员刷新审计服务后,更改的规范开始生效。
# audit -s示例 4-6 删除审计插件的队列大小
在以下示例中,将删除 audit_binfile 插件的队列大小。
# auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Queue size: 200 # auditconfig -setplugin audit_binfile "" 0 # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2;
空引号 ("") 将保留当前属性值。最后的 0 将插件的队列大小设置为缺省值。
管理员刷新审计服务后,插件的 qsize 规范中的更改开始生效。
# audit -s示例 4-7 设置警告的软限制
在本示例中,设置了所有审计文件系统的最低空闲空间级别,以便在文件系统的可用空间只有 2% 时发出警告。
# auditconfig -setplugin audit_binfile p_minfree=2
缺省百分比为 1 (1)。对于大型 ZFS 池,请适当地选择较低的百分比。例如,16 TB 池的 10% 大约是 16 GB,如果设为此值将在仍剩余大量磁盘空间时向审计管理员发出警告。如果值为 2,将在剩余大约 2 GB 磁盘空间时发送 audit_warn 消息。
audit_warn 电子邮件别名用于接收警告。要设置别名,请参见如何配置 audit_warn 电子邮件别名。
对于大型池,管理员还会将文件大小限制为 3 GB。
# auditconfig -setplugin audit_binfile p_fsize=3G
管理员刷新审计服务后,插件的 p_minfree 和 p_fsize 规范开始生效。
# audit -s