« Windows パーティションの種類 | トップページ | ls コマンドでファイルの時刻情報(タイムスタンプ)を表示する(最終更新日時、最終アクセス日時、 i ノード情報の更新日時) »

Solaris BSM 監査サービスに関するメモ

Solaris BSM 監査サービスに関するメモ

監査サービスを有効

bsmconv

Stop + A を使った停止機能を無効

/etc/system
set abort_enable=0

監査機能の管理、設定

auditconfig コマンド

-setpolicy 監査方針を変更
-chkconf 設定チェック
-lspolicy 監査方針とその説明一覧表示

監査ログ

/var/audit ディレクトリに配置

監査トレールオーバーフロー

パーティションがいっぱいになると
ユーザに警告するためメッセージを通知
スリープ状態のループに入り、パーティションに
空きが出来たかを判定し監査処理を再開する
(コンソールに表示)

audit_control ファイル
----------------------
dir:
監査ログの位置(複数指定することも可能)
minifree:
監査ログ保存先のファイルシステムが
オーバーフローしたかの基準となる閾値
flags:
システム全体で全ユーザを対象に記録を残す
イベントを表す
naflags:
特定ユーザに結びつけることのできない
イベントの中でどれを記録するかをまとめて
指定するためのもの

/etc/security
-----------------------
監査機能とクラス

audit_class ファイル
システム監査で記録するイベントを大きく
分類するための区分けを記述

ファイルの各項目の書式
マスク:名前:説明

audit_event ファイル

イベントの種類と、それが audit_class の
どのクラスに属するのかが記述されている

20:AUE_REBOOT:reboot(2):ad

reboot コマンドの実行は ad(administrator)
クラスのイベントとしてログに残る

イベント
カーネルレベル(1-2047)と
ユーザレベル(2048-65535)のイベントの
2 つに分かれる
32768-65535 はサードパーティのイベント用

監査機能の構成
--------------
audit_user
システムの個々のユーザに対する監査内容を制御

+  処理成功の監査をオン
-  処理失敗の監査をオン
   成功と失敗の監査をオン
^+ 処理成功の監査をオフ
^- 処理失敗の監査をオフ
^  成功と失敗の監査をオフ

監査データのとりまとめと分析
----------------------------
# auditreduce | praudit

auditreduce コマンド

監査トレール全体の監査レコードを
マージすることが出来る
オプションでフィルタすることも出来る
-d  日付(yymmdd)
-b,-a
    日付(年月日時分秒)
-u  ユーザ
-c  クラス

praudit コマンド
人間が読める形式に変換できる

出力形式の指定
-s  簡易表示


« Windows パーティションの種類 | トップページ | ls コマンドでファイルの時刻情報(タイムスタンプ)を表示する(最終更新日時、最終アクセス日時、 i ノード情報の更新日時) »

Solaris」カテゴリの記事

セキュリティ(Security)」カテゴリの記事

記事一覧

スポンサードリンク


Twitter


無料ブログはココログ

ブログ検索