/usr/lib/security/audit_binfile.so
用于 Solaris 审计的 audit_binfile 插件模块 /usr/lib/security/audit_binfile.so 可按照 auditconfig(1M) 中的配置将二进制审计数据写入文件;它是 Solaris 审计守护进程 auditd(1M) 的缺省插件。其输出由 audit.log(4) 进行描述。
如果 audit_binfile 插件通过 auditconfig 配置为活动状态,则由 auditd 装入该插件。使用 auditconfig –setplugin 选项可以更改所有与插件相关的配置参数。
下列属性指定 audit_binfile 插件的配置:
dir1[,dir2],.. [,dirn]
将在其中创建审计文件的目录列表。可以指定任何有效可写目录。
一个百分比,用于指示目标 p_dir 上所需的可用空间量。如果可用空间低于此阈值,则审计守护进程 auditd(1M) 将调用 shell 脚本 audit_warn(1M)。如果未指定阈值,则缺省百分比为 1%。
p_fsize 属性定义审计文件在自动关闭并打开一个新审计文件之前可以达到的最大大小。这与审计文件大小等于管理员指定的值时管理员发出 audit -n 命令等效。缺省大小为零 (0),这允许文件一直增长而不受约束。指定的值必须大于 500KB 并小于 16 艾字节 (EB)。所使用的文件系统可能会进一步降低该限制。p_fsize 值的格式可以指定为以字节为单位的确切值,或者使用后缀 B, K, M, G, T, P, E, Z(分别代表字节、千字节、兆字节、千兆字节、兆兆字节、千兆兆字节、艾字节和泽字节)以可读的格式指定值。也接受 KB, MB, GB, TB, PB, EB 和 ZB 作为后缀。
p_age 属性定义审计文件在自动关闭并打开一个新审计文件之前将保持打开的最长时间。这等效于管理员在审计文件处于打开状态的时间已经达到配置的时间时发出 audit -n 命令。缺省时间为零 (0),这样允许文件一直保持打开状态,直到某个其他操作导致该文件关闭。可使用具有用于指定时间单位的后缀的形式指定 p_age 值的格式:h、d、w、m、y(小时、天、周、月 (30d)、年 (365d))。
使用以下指令可装入 audit_binfile.so,指定用于写入审计日志的目录,指定每个目录的必需可用空间的百分比,日志文件的最大大小以及日志文件的最长使用寿命。
auditconfig -setplugin audit_binfile active \
"p_dir=/var/audit/jedgar/eggplant,/var/audit/jedgar.aux/eggplant,
/var/audit/global/eggplant;p_minfree=20;p_fsize=4.5GB;p_age=1w"
有关以下属性的说明,请参见 attributes(5):
|
auditconfig(1M)、auditd(1M)、audit_warn(1M)、syslog.conf(4)、attributes(5)