audit_binfile - 生成 Solaris 审计日志
/usr/lib/security/audit_binfile.so
用于 Solaris 审计的 audit_binfile 插件模块 /usr/lib/security/audit_binfile.so 可按照 auditconfig(8) 中的配置将二进制审计数据写入文件;它是 Solaris 审计守护进程 auditd(8) 的缺省插件。其输出由 audit.log(5) 进行描述。
The audit_binfile plugin is loaded by auditd if the plugin is configured as active via auditconfig.使用 auditconfig –setplugin 选项可以更改所有与插件相关的配置参数。
下列属性指定 audit_binfile 插件的配置:
dir1[,dir2],.. [,dirn]
将在其中创建审计文件的目录列表。可以指定任何有效可写目录。
一个百分比,用于指示目标 p_dir 上所需的可用空间量。如果可用空间低于此阈值,则审计守护进程 auditd(8) 将调用 shell 脚本 audit_warn(8)。如果未指定阈值,则缺省百分比为 1%。
p_fsize 属性定义审计文件在自动关闭并打开一个新审计文件之前可以达到的最大大小。这与审计文件大小等于管理员指定的值时管理员发出 audit -n 命令等效。缺省大小为零 (0),这允许文件一直增长而不受约束。指定的值必须大于 500KB 并小于 16 艾字节 (EB)。所使用的文件系统可能会进一步降低该限制。The format of the p_fsize value can be specified as an exact value in bytes or in a human-readable form with a suffix of B, K, M, G, T, P, E, Z (for bytes, kilobytes, megabytes, gigabytes, terabytes, petabytes, exabytes, or zettabytes, respectively).Suffixes of KB, MB, GB, TB, PB, EB, and ZB are also accepted.
p_age 属性定义审计文件在自动关闭并打开一个新审计文件之前将保持打开的最长时间。这等效于管理员在审计文件处于打开状态的时间已经达到配置的时间时发出 audit -n 命令。The default time is zero (0) which allows the file to remain open until some other action causes it to be closed.The format of the p_age values can be specified in a form with a suffix specifying the units of time: h, d, w, m, y (hours, days, weeks, months (30d), years (365d)).
p_flags 属性定义要审计的审计类集。audit_flags(7) 中介绍了指定审计标志的语法。audit_binfile 插件中 p_flags 的缺省值为 all。
使用以下指令可装入 audit_binfile.so,指定用于写入审计日志的目录,指定每个目录的必需可用空间的百分比,日志文件的最大大小以及日志文件的最长使用寿命。
auditconfig -setplugin audit_binfile active \
"p_dir=/var/audit/jedgar/eggplant,/var/audit/jedgar.aux/eggplant,
/var/audit/global/eggplant;p_minfree=20;p_fsize=4.5GB;p_age=1w"
有关以下属性的说明,请参见 attributes(7):
|
syslog.conf(5)、attributes(7)、audit_warn(8)、auditconfig(8)、auditd(8)