配置 Solaris 11 审核

配置 Solaris 11 审核

最近我正在尝试激活Solaris 审计服务记录日志并将它们写入单个文件中/var/adm/审计日志

问题是,我试图通过互联网找到一些有关它的有用信息,但找不到太多。

首先,我检查了审计服务状态审计配置-getcond它是启用,我使用禁用审计服务-t参数与命令audit。 (审核-t)。并使用 root 用户再次启用它。

我有默认的审核参数(审核事件,审计类,政策, ETC)。我不知道这些日志写入哪里,或者我不知道如何将审核日志保存在单个文件中。

请对我的案子有帮助吗?

再见,

答案1

如果您将所有内容都保留为开箱即用:您是否查看过 /var/audit 。请记住,在 Solaris 的默认配置中,文件采用二进制格式。您需要使用 praudit 命令查看它们。

答案2

向你展示了什么auditconfig -getcond

这将向您显示一些基本配置选项,以及二进制审计数据的去向:

auditconfig -getplugin audit_binfile

插件:audit_binfile(活动) 属性:p_age=0h;p_dir=/var/audit;p_fsize=0;p_minfree=1

您检查过SMF的审计服务吗?以及其他的情况,以防审计所依赖的东西正在维护中? IE: svcs -a |grep audit; svcs -xv

我询问了第一个问题,由于某种原因,在我的一个 Solaris 11 系统上,auditd 服务无法启动,而且我一直无法找到一种方法来启动它。

Oracle Solaris 11 中的审计

相关内容