稽核會持續記錄系統的使用狀況。稽核服務包含協助分析稽核資料的工具。
如需稽核服務的相關說明,請參閱Managing Auditing in Oracle Solaris 11.2 。如需線上手冊的清單與其連結,請參閱Managing Auditing in Oracle Solaris 11.2 中的Audit Service Man Pages。
下列稽核服務程序適用於許多安全環境:
建立個別的角色來配置稽核、審閱稽核以及啟動和停止稽核服務。指派角色給信任的使用者。
使用稽核配置、稽核審閱以及稽核控制權限設定檔,作為您角色的基礎。
若要建立角色或使用預先定義的 ARMOR 角色,請參閱Securing Users and Processes in Oracle Solaris 11.2 中的Assigning Rights to Users。
使用 cusa 稽核類別稽核所有管理員。
cusa 稽核類別中的事件涵蓋影響系統之安全性狀態的管理動作。如需相關說明,請參閱 /etc/security/audit_class 檔案。如需此程序的相關資訊,請參閱如何稽核登入/登出以外的重大事件。
將稽核記錄傳送至中央伺服器。
配置「稽核遠端伺服器 (ARS)」使用的稽核。
請參閱Managing Auditing in Oracle Solaris 11.2 中的How to Send Audit Files to a Remote Repository。
將完整的稽核檔案安全傳輸排程到個別 ZFS 集區上的稽核審閱檔案系統。
監控 syslog 公用程式中所選稽核事件的文字摘要。
啟動 audit_syslog 外掛程式,然後監視報告的事件。
請參閱Managing Auditing in Oracle Solaris 11.2 中的How to Configure syslog Audit Logs。
限制稽核檔案的大小。
將 audit_binfile 外掛程式的 p_fsize 屬性設為可用的大小。考慮其他因素中的審閱排程、磁碟空間以及 cron 工作頻率。
如需相關範例,請參閱Managing Auditing in Oracle Solaris 11.2 中的How to Assign Audit Space for the Audit Trail。
將完整的稽核檔案安全傳輸排程到個別 ZFS 集區上的稽核審閱檔案系統。
審閱稽核審閱檔案系統上的完整稽核檔案。