このセクションでは、Oracle Solaris 監査を構成および実装する方法の一例を示します。特定のニーズおよび要件に従って、サービスのさまざまな属性を構成することから始めます。構成が完了すると、構成の設定を有効にするために監査サービスが起動されます。新しい要件を満たすたすように既存の監査構成を修正する必要があるたびに、この例と同じ順序に従ってアクションを実行してください。
監査パラメータを構成します。
監査サービスをリフレッシュします。
新しい監査の構成を確認します。
最初に、管理者は一時的なポリシーを追加します。
# auditconfig -t -setpolicy +zonename # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone,zonename
次に、管理者はキュー制御を指定します。
# auditconfig -setqctrl 200 20 0 0 # auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
次に、管理者はプラグインの属性を指定します。
audit_binfile プラグインの場合、管理者は qsize 値を削除します。
# auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit; p_minfree=2;p_fsize=4G; Queue size: 200 # auditconfig -setplugin audit_binfile "" 0 # auditconfig -getplugin audit_binfile Plugin: audit_binfile Attributes: p_dir=/audit/sys1.1,/var/audit p_minfree=2;p_fsize=4G;
audit_syslog プラグインの場合、管理者は、成功したログインおよびログアウトイベントと失敗した実行可能ファイルが syslog に送信されるように指定します。このプラグインの qsize は 150 に設定されます。
# auditconfig -setplugin audit_syslog active p_flags=+lo,-ex 150 # auditconfig -getplugin audit_syslog auditconfig -getplugin audit_syslog Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 150
管理者は、audit_remote プラグインを構成したり、使用したりしません。
次に、管理者は監査サービスをリフレッシュし、構成を確認します。
一時的な zonename ポリシーはもう設定されていません。
# audit -s # auditconfig -getpolicy configured audit policies = ahlt,arge,argv,perzone active audit policies = ahlt,arge,argv,perzone
キュー制御は同じままです。
# auditconfig -getqctrl configured audit queue hiwater mark (records) = 200 configured audit queue lowater mark (records) = 20 configured audit queue buffer size (bytes) = 8192 configured audit queue delay (ticks) = 20 active audit queue hiwater mark (records) = 200 active audit queue lowater mark (records) = 20 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
audit_binfile プラグインには、指定されたキューサイズはありません。audit_syslog プラグインには、指定されたキューサイズがあります。
# auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=4G;p_minfree=2; Plugin: audit_syslog Attributes: p_flags=+lo,-ex; Queue size: 150 ...