この手順では、audit_remote プラグインの属性を使用して、監査トレールをリモート監査リポジトリに送信します。Oracle Solaris システム上にリモートリポジトリを構成するには、監査ファイルのためのリモートリポジトリを構成する方法を参照してください。
始める前に
リモートリポジトリに監査ファイルの受信者が存在する必要があります。Audit Configuration 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
audit_remote(5) のマニュアルページの OBJECT ATTRIBUTES のセクションを参照してください。
# man audit_remote ... OBJECT ATTRIBUTES The p_hosts attribute specifies the remote servers. You can also specify the port number and the GSS-API mechanism. The p_retries attribute specifies the number of retries for connecting and sending data. The default is 3. The p_timeout attribute specifies the number of seconds in which a connection times out.
デフォルトポートは、solaris_audit IANA 割り当て済みポート 16162/tcp です。デフォルトのメカニズムは kerberos_v5 です。タイムアウトのデフォルトは 5 秒です。また、プラグインのキューサイズも指定できます。
この例では、受信側のシステムは別のポートを使用します。
# auditconfig -setplugin audit_remote \
p_hosts=ars.example.com:16088:kerberos_v5
たとえば、次のコマンドは、すべてのオプション属性の値を指定します。
# auditconfig -setplugin audit_remote "p_retries=;p_timeout=3" 300
たとえば、次のコマンドは、プラグインの値を指定して確認します。
# auditconfig -getplugin audit_remote Plugin: audit_remote (inactive) Attributes: p_hosts=ars.example.com:16088:kerberos_v5;p_retries=5;p_timeout=3; Queue size: 300 # auditconfig -setplugin audit_remote active
監査サービスは、リフレッシュ時に監査プラグインの変更を読み取ります。
# audit -s
この例では、監査キューが audit_remote プラグインの背後でいっぱいになっています。この監査対象システムは多数のクラスを監査するように構成されており、トラフィック量の多い、低速なネットワークを経由して転送しています。管理者は、プラグインのバッファーサイズを増やすことによって、レコードがキューから削除される前に監査キューを拡張可能にし、バッファーの制限を超えることがないようにます。
audsys1 # auditconfig -setplugin audit_remote "" 1000 audsys1 # audit -s