最近我正在尝试激活Solaris 审计服务记录日志并将它们写入单个文件中/var/adm/审计日志。
问题是,我试图通过互联网找到一些有关它的有用信息,但找不到太多。
首先,我检查了审计服务状态审计配置-getcond它是启用,我使用禁用审计服务-t参数与命令audit。 (审核-t)。并使用 root 用户再次启用它。
我有默认的审核参数(审核事件,审计类,政策, ETC)。我不知道这些日志写入哪里,或者我不知道如何将审核日志保存在单个文件中。
请对我的案子有帮助吗?
再见,
答案1
如果您将所有内容都保留为开箱即用:您是否查看过 /var/audit 。请记住,在 Solaris 的默认配置中,文件采用二进制格式。您需要使用 praudit 命令查看它们。
答案2
向你展示了什么auditconfig -getcond?
这将向您显示一些基本配置选项,以及二进制审计数据的去向:
auditconfig -getplugin audit_binfile
插件:audit_binfile(活动) 属性:p_age=0h;p_dir=/var/audit;p_fsize=0;p_minfree=1
您检查过SMF的审计服务吗?以及其他的情况,以防审计所依赖的东西正在维护中? IE: svcs -a |grep audit; svcs -xv
我询问了第一个问题,由于某种原因,在我的一个 Solaris 11 系统上,auditd 服务无法启动,而且我一直无法找到一种方法来启动它。