在本过程中,使用 audit_remote 插件的属性将审计迹发送到远程审计系统信息库。要在 Oracle Solaris 系统上配置一个远程系统信息库,请参见如何配置审计文件的远程系统信息库。
开始之前
远程系统信息库上必须具有审计服务的接收者。您必须是指定有 "Audit Configuration"(审计配置)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
阅读 audit_remote(5) 手册页的 OBJECT ATTRIBUTES 部分。
# man audit_remote ... OBJECT ATTRIBUTES The p_hosts attribute specifies the remote servers. You can also specify the port number and the GSS-API mechanism. The p_retries attribute specifies the number of retries for connecting and sending data. The default is 3. The p_timeout attribute specifies the number of seconds in which a connection times out.
缺省端口是 solaris_audit IANA 指定的端口 16162/tcp。缺省机制是 kerberos_v5。缺省超时为 5 秒。您还可以指定插件的队列大小。
在本示例中,接收系统使用一个不同的端口。
# auditconfig -setplugin audit_remote \ p_hosts=ars.example.com:16088:kerberos_v5
例如,以下命令指定所有可选属性的值:
# auditconfig -setplugin audit_remote "p_retries=;p_timeout=3" 300
例如,以下命令指定并验证插件的值:
# auditconfig -getplugin audit_remote Plugin: audit_remote (inactive) Attributes: p_hosts=ars.example.com:16088:kerberos_v5;p_retries=5;p_timeout=3; Queue size: 300 # auditconfig -setplugin audit_remote active
审计服务在刷新时将读取审计插件更改。
# audit -s
在本示例中,audit_remote 插件后面的审计队列太满。该被审计系统被配置为对许多类进行审计,并在通过高通信流量的慢速网络传输数据。管理员增大了插件的缓冲区大小,使审计队列可以增长,从而使得在审计记录从队列中移除之前不会超出缓冲区大小限制。
audsys1 # auditconfig -setplugin audit_remote "" 1000 audsys1 # audit -s