Configurando a auditoria do Solaris 11

0

Recentemente, eu estava trabalhando tentando ativar o serviço de auditoria solaris para gravar registros e escrevê-los em um único arquivo em / var / adm / auditlog .

O problema é que eu estava tentando encontrar algumas informações úteis sobre isso pela Internet e não consegui encontrá-lo demais.

Primeiro, verifiquei o status do serviço de auditoria com auditconfig -getcond e ele está Ativado, desativo o serviço de auditoria usando o parâmetro -t com o comando audit. ( audit -t ). E ative-o novamente com o usuário root.

Eu tenho os parâmetros de auditoria padrão ( audit_event , audit_class , políticas , etc). E eu não sei onde esses logs são escritos ou não sei como posso fazer com que os logs de auditoria sejam salvos em um único arquivo.

Por favor, qualquer ajuda com o meu caso?.

Até mais,

    
por vicdeveloper 07.06.2017 / 15:57

2 respostas

3

Se você mantivesse tudo pronto para uso: Você examinou / var / audit. Tenha em mente que na configuração padrão do Solaris, os arquivos estão em um formato binário. Você precisa olhá-los com o comando praudit.

    
por 07.06.2017 / 18:36
0

O que auditconfig -getcond mostra para você?

Isso mostraria algumas das opções de configuração base e para onde os dados de auditoria binária estão sendo executados:

auditconfig -getplugin audit_binfile

Plugin: audit_binfile (ativo)         Atributos: p_age = 0h; p_dir = / var / audit; p_fsize = 0; p_minfree = 1

Você verificou os serviços de auditoria no SMF? Assim como os outros, caso algo de que depende depende de manutenção? ou seja: svcs -a |grep audit; svcs -xv

Eu perguntei sobre o primeiro, já que por algum motivo em um dos meus sistemas Solaris 11, o serviço auditd não inicia, e não consegui encontrar uma maneira de dar vida a ele.

Auditoria no Oracle Solaris 11

    
por 07.06.2017 / 22:15