如何向远程系统信息库发送审计文件

在本过程中，使用 audit_remote 插件的属性将审计迹发送到远程审计系统信息库。要在 Oracle Solaris 系统上配置一个远程系统信息库，请参见如何配置审计文件的远程系统信息库。

开始之前

远程系统信息库上必须具有审计服务的接收者。您必须是指定有 "Audit Configuration"（审计配置）权限配置文件的管理员。有关更多信息，请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。

1. 确定 audit_remote 插件的属性。

   阅读 audit_remote(5) 手册页的 OBJECT ATTRIBUTES 部分。

   # man audit_remote
   
   ...
   OBJECT ATTRIBUTES
   The p_hosts attribute specifies the remote servers.
   You can also specify the port number and the GSS-API
   mechanism.
   
   The p_retries attribute specifies the number of retries for
   connecting and sending data. The default is 3.
   
   The p_timeout attribute specifies the number of seconds
   in which a connection times out.

   缺省端口是 solaris_audit IANA 指定的端口 16162/tcp。缺省机制是 kerberos_v5。缺省超时为 5 秒。您还可以指定插件的队列大小。

2. 要指定远程接收系统，请使用 p_hosts 属性。

   在本示例中，接收系统使用一个不同的端口。

   # auditconfig -setplugin audit_remote \
        p_hosts=ars.example.com:16088:kerberos_v5
   

3. 指定要更改的插件的其他属性。

   例如，以下命令指定所有可选属性的值：

   # auditconfig -setplugin audit_remote "p_retries=;p_timeout=3" 300
   

4. 验证这些值，然后激活插件。

   例如，以下命令指定并验证插件的值：

   # auditconfig -getplugin audit_remote
   Plugin: audit_remote (inactive)
   Attributes: p_hosts=ars.example.com:16088:kerberos_v5;p_retries=5;p_timeout=3;
   Queue size: 300
   
   # auditconfig -setplugin audit_remote active
   

5. 刷新审计服务。

   审计服务在刷新时将读取审计插件更改。

   # audit -s
   

示例 4-8  调优审计队列缓冲区大小

在本示例中，audit_remote 插件后面的审计队列太满。该被审计系统被配置为对许多类进行审计，并在通过高通信流量的慢速网络传输数据。管理员增大了插件的缓冲区大小，使审计队列可以增长，从而使得在审计记录从队列中移除之前不会超出缓冲区大小限制。

audsys1 # auditconfig -setplugin audit_remote "" 1000

audsys1 # audit -s