監査する動作の種類を適切に選択し、有用な監査情報を収集することが望まれます。監査対象者と監査対象も注意して計画する必要があります。デフォルトの audit_binfile プラグインを使用している場合は、監査ファイルが急速に拡大して使用可能な領域がいっぱいになることがあります。
システムが単一の管理ドメイン内にある場合、単一システムイメージの監査トレールを作成できます。
サイトに単一システムイメージの監査トレールを作成するには、次の要件に従います。
すべてのシステムで同じネームサービスを使用します。
監査レコードの正しい解釈のためには、passwd、group、および hosts ファイルの整合性がとれている必要があります。
すべてのシステム上で監査サービスを同様に構成します。サービス設定の表示および変更については、auditconfig(1M) のマニュアルページを参照してください。
すべてのシステムで同じ audit_warn、audit_event、および audit_class ファイルを使用します。
システム上の監査を有効にするための追加の考慮事項については、監査対象者と監査対象イベントの計画方法を参照してください。
システムに非大域ゾーンが含まれている場合は、大域ゾーンを監査する場合と同様にこれらのゾーンを監査できます。あるいは、非大域ゾーンごとの監査サービスを個別に構成したり、有効または無効にしたりできます。たとえば、大域ゾーンを監査せずに、非大域ゾーンのみを監査できます。
トレードオフについては、Oracle Solaris Zones を使用したシステムの監査を参照してください。
ゾーン内に監査を実装する際は、次のオプションを使用できます。
すべてのゾーンを同様に監査すると、単一イメージの監査トレールを作成できます。単一イメージの監査トレールは、audit_binfile または audit_remote プラグインを使用しており、システム上のすべてのゾーンが 1 つの管理ドメインに含まれている場合に実行されます。その場合は、すべてのゾーン内のレコードが同一の設定で事前選択されるため、監査レコードを容易に比較できます。
この構成では、すべてのゾーンが 1 つのシステムの一部として扱われます。大域ゾーンはシステム上の唯一の監査サービスを実行し、ゾーンごとに監査レコードを収集します。audit_class および audit_event ファイルは大域ゾーンでのみカスタマイズし、そのあと、これらのファイルをすべての非大域ゾーンにコピーします。
すべてのゾーンに対応する単一の監査サービスを構成する際は、次のガイドラインを使用します。
すべてのゾーンで同じネームサービスを使用します。
監査レコードにゾーンの名前を含めることができるようにします。
ゾーン名を監査レコードの一部として含めるには、大域ゾーンで zonename ポリシーを設定します。次に、auditreduce コマンドで、監査証跡からゾーンに基づいて監査イベントを選択できます。例については、auditreduce(1M) のマニュアルページを参照してください。
単一イメージ監査証跡を計画するには、監査対象者と監査対象イベントの計画方法を参照してください。最初の手順から始めます。また、大域ゾーン管理者は、監査レコードのディスク容量を計画する方法の説明に従ってストレージも確保する必要があります。
ゾーンごとに異なるネームサービスデータベースを使用している場合や、ゾーン管理者が自分のゾーン内の監査を制御する場合は、ゾーンごとの監査を構成することを選択します。
ゾーンごとの監査を構成する場合は、大域ゾーンで perzone 監査ポリシーを設定します。非大域ゾーンが最初にブートされる前にゾーンごとの監査が設定されている場合は、そのゾーンの最初のブート時に監査が開始されます。監査ポリシーを設定するには、ゾーンごとの監査を構成する方法を参照してください。
各ゾーン管理者がゾーンの監査を構成します。
非大域ゾーン管理者は、perzone と ahlt 以外のすべてのポリシーオプションを設定できます。
各ゾーン管理者はゾーン内で監査を有効化または無効化できます。