Se você mantivesse tudo pronto para uso: Você examinou / var / audit. Tenha em mente que na configuração padrão do Solaris, os arquivos estão em um formato binário. Você precisa olhá-los com o comando praudit.
Recentemente, eu estava trabalhando tentando ativar o serviço de auditoria solaris para gravar registros e escrevê-los em um único arquivo em / var / adm / auditlog .
O problema é que eu estava tentando encontrar algumas informações úteis sobre isso pela Internet e não consegui encontrá-lo demais.
Primeiro, verifiquei o status do serviço de auditoria com auditconfig -getcond e ele está Ativado, desativo o serviço de auditoria usando o parâmetro -t com o comando audit. ( audit -t ). E ative-o novamente com o usuário root.
Eu tenho os parâmetros de auditoria padrão ( audit_event , audit_class , políticas , etc). E eu não sei onde esses logs são escritos ou não sei como posso fazer com que os logs de auditoria sejam salvos em um único arquivo.
Por favor, qualquer ajuda com o meu caso?.
Até mais,
Se você mantivesse tudo pronto para uso: Você examinou / var / audit. Tenha em mente que na configuração padrão do Solaris, os arquivos estão em um formato binário. Você precisa olhá-los com o comando praudit.
O que auditconfig -getcond
mostra para você?
Isso mostraria algumas das opções de configuração base e para onde os dados de auditoria binária estão sendo executados:
auditconfig -getplugin audit_binfile
Plugin: audit_binfile (ativo) Atributos: p_age = 0h; p_dir = / var / audit; p_fsize = 0; p_minfree = 1
Você verificou os serviços de auditoria no SMF? Assim como os outros, caso algo de que depende depende de manutenção?
ou seja: svcs -a |grep audit; svcs -xv
Eu perguntei sobre o primeiro, já que por algum motivo em um dos meus sistemas Solaris 11, o serviço auditd não inicia, e não consegui encontrar uma maneira de dar vida a ele.