配置Solaris 11审计

Question

最近，我正在尝试激活solaris审计服务，以记录日志并将它们写入/var/adm/auditlog中的单个文件中。

问题是，我试图在网上找到一些有用的信息，但我找不到太多。

首先，我使用auditconfig -getcond检查了审计服务状态，并且它是启用的，我使用-t参数和命令审核禁用了审计服务。(审计-t)。并再次使用根用户启用它。

我有默认的审计参数(audit_event、audit_class、策略等)。我不知道这些日志是在哪里写的，或者我不知道如何将审计日志保存在一个文件中。

拜托，能帮我办案吗？

再见，

Answer 1

如果你把所有的东西都放在盒子里:你看过/var/审核了吗？请记住，在Solaris的默认配置中，文件是二进制格式的。您需要使用praudit命令来查看它们。

Answer 2

auditconfig -getcond给你看了什么？

这将向您展示一些基本配置选项，以及二进制审计数据的去处：

auditconfig -getplugin audit_binfile

插件: p_age=0h;p_dir=/var/audit;p_fsize=0;p_minfree=1 : audit_binfile (活动)属性

你查过SMF的审计服务了吗？以及其他人，以防审计所依赖的东西在维护中？ie：svcs -a |grep audit; svcs -xv

我询问了第一个问题，因为在我的Solaris 11系统中，由于某种原因，auditd服务未能启动，我一直无法找到一种方法将它踢向现实。

11中的审计