A auditoria mantém um registro de como o sistema está sendo usado. O serviço de auditoria inclui ferramentas para auxiliar na análise dos dados da auditoria.
O serviço de auditoria é descrito no Managing Auditing in Oracle Solaris 11.2 . Para obter uma lista das páginas man e dos links para elas, consulte Audit Service Man Pages no Managing Auditing in Oracle Solaris 11.2 .
Os seguintes procedimentos de serviço de auditoria são úteis em muitos ambientes seguros:
Crie funções separadas para configurar e analisar a auditoria e iniciar e parar o serviço de auditoria. Atribua as funções a usuários confiáveis.
Use os perfis de direitos Configuração de auditoria, Análise de auditoria e Controle de auditoria como a base para as suas funções.
Para criar funções ou usar as funções ARMOR predefinidas, consulte Assigning Rights to Users no Securing Users and Processes in Oracle Solaris 11.2 .
Audite todos os administradores com a classe de auditoria cusa.
Os eventos da classe de auditoria cusa englobam ações administrativas que afetam o comportamento de segurança do sistema. Para obter uma descrição, consulte o arquivo /etc/security/audit_class. Para ver o procedimento, consulte Como auditar eventos significativos além de login/logout.
Envie registros de auditoria para um servidor central.
Configure a auditoria para trabalhar com o Audit Remote Server (ARS).
Consulte How to Send Audit Files to a Remote Repository no Managing Auditing in Oracle Solaris 11.2 .
Programe a transferência segura de arquivos de auditoria completos para um sistema de arquivos de análise de auditoria em um pool ZFS separado.
Monitore resumos de texto dos eventos auditados selecionados no utilitário syslog
Ative o plugin audit_syslog e, em seguida, monitore os eventos relatados.
Consulte How to Configure syslog Audit Logs no Managing Auditing in Oracle Solaris 11.2 .
Limite o tamanho dos arquivos de auditoria.
Defina o atributo p_fsize para o plugin audit_binfile como um tamanho útil. Considere a sua programação de análise, o espaço em disco e a frequência do trabalho cron, entre outros fatores.
Para obter exemplos, consulte How to Assign Audit Space for the Audit Trail no Managing Auditing in Oracle Solaris 11.2 .
Programe a transferência segura de arquivos de auditoria completos para um sistema de arquivos de análise de auditoria em um pool ZFS separado.
Analise os arquivos de auditoria completos no sistema de arquivos de auditoria.