规划Solaris 审计（任务）
第28 章• 规划Solaris 审计529
 使用相同的audit_user 数据库。此数据库可以位于名称服务中。
 在audit_control 文件中具有相同的flags、naflags 和plugin 项。
确定审计策略。
使用auditconfig -lspolicy 命令查看可用策略选项的简短说明。缺省情况下，仅打开cnt
策略。有关更全面的介绍，请参见步骤8。
有关策略选项的影响，请参见第531 页中的“确定审计策略”。有关如何设置审计策略的
信息，请参见第550 页中的“如何配置审计策略”。
确定是否要修改事件到类的映射。
在多数情况下，缺省映射便已够用。但是，如果添加新类、更改类定义，或者确定某特定
系统调用的记录无用，则可能需要将某个事件移动到其他类。
有关示例，请参见第544 页中的“如何更改审计事件的类成员关系”。
确定要预选的审计类。
添加审计类或更改缺省类的最佳时机是在启动审计服务之前。
audit_control 文件中flags、naflags 和plugin 项的审计类值适用于所有用户和进程。预
选类可以确定是只针对成功情况对审计类进行审计，还是只针对失败情况对其进行审计，
或者同时针对两种情况对其进行审计。
有关如何预选审计类的信息，请参见第536 页中的“如何修改audit_control 文件”。
确定系统范围预选审计类的用户例外情况。
如果决定使用系统范围预选审计类以外的方式来审计某些用户，请修改audit_user 数据库
中单个用户项。
有关示例，请参见第541 页中的“如何更改用户审计特征”。
确定最小可用磁盘空间。
当审计文件系统上的磁盘空间低于minfree 百分比时，auditd 守护进程将切换到下一个可
用审计目录。然后，此守护进程将发送一条警告，指出已超过软限制。
有关如何设置最小可用磁盘空间的信息，请参见示例29–4。
决定如何管理audit_warn 电子邮件别名。
只要审计系统需要通知您出现了需要管理干预的情况，就会运行audit_warn 脚本。缺省情
况下，audit_warn 脚本会向audit_warn 别名发送电子邮件，并向控制台发送消息。
要设置别名，请参见第550 页中的“如何配置audit_warn 电子邮件别名”。
决定当所有审计目录已满时需要执行的操作。
缺省情况下，当审计跟踪溢出时，系统还会继续工作。系统会对已删除的审计记录进行计
数，但是不会记录事件。要获得更大的安全性，可以禁用cnt 策略，同时启用ahlt 策略。
当审计跟踪溢出时，ahlt 策略将停止系统。
2
3
4
5
6
7
8
规划Solaris 审计（任务）
530 系统管理指南：安全性服务• 2006 年9 月
有关如何配置这些策略选项的信息，请参见示例29–14。
决定是否收集syslog 格式以及二进制日志格式的审计记录。
有关概述信息，请参见第522 页中的“审计文件”。
有关示例，请参见第539 页中的“如何配置syslog 审计日志”。
确定审计策略
审计策略确定本地系统审计记录的特征。策略选项由启动脚本设置。启用审计服务的
bsmconv 脚本会创建/etc/security/audit_startup 脚本。audit_startup 脚本执行
auditconfig 命令来建立审计策略。有关此脚本的详细信息，请参见audit_startup(1M) 手
册页。
缺省情况下，禁用大多数审计策略选项来最大程度地减少存储需求和系统处理需求。您可
以使用auditconfig 命令动态启用和禁用审计策略选项。可以使用audit_startup 脚本永久
启用和禁用策略选项。
使用下表确定您站点的需求是否可以解释启用一个或多个审计策略选项而造成的额外开
销。
表28–1审计策略选项的影响
策略名称说明更改策略选项的原因
ahlt 此策略仅适用于异步事件。禁用后，此策略允许在不
生成审计记录的情况下完成事件。
启用后，此策略会在审计文件系统已满时停止系统。
需要管理干预才能清除审计队列、为审计记录提供空
间，以及重新引导系统。只能在全局区域中启用此策
略。此策略影响所有区域。
当系统可用性比安全性更重要时，适合使用禁用选
项。
在安全性极为重要的环境中，适合使用启用选项。
arge 禁用后，此策略将从exec 审计记录中忽略已执行程序
的环境变量。
启用后，此策略会将已执行程序的环境变量添加到
exec 审计记录。与禁用此策略的情况相比，生成的审
计记录包含更多详细信息。
与启用选项相比，禁用选项收集的信息要少很多。
当审计数个用户时，适合使用启用选项。怀疑
exec 程序中使用的环境变量有问题时，也可以使
用此选项。
argv 禁用后，此策略将从exec 审计记录中忽略已执行程序
的参数。
启用后，此策略会将已执行程序的参数添加到exec 审
计记录。与禁用此策略的情况相比，生成的审计记录
包含更多详细信息。
与启用选项相比，禁用选项收集的信息要少很多。
当审计数个用户时，适合使用启用选项。当您确信
所运行的exec 程序异常时，也可以使用此选项。
9
确定审计策略
第28 章• 规划Solaris 审计531
表28–1 审计策略选项的影响（续）
策略名称说明更改策略选项的原因
cnt 禁用后，此策略将阻止用户或应用程序运行。由于没
有可用磁盘空间而导致审计记录无法添加到审计跟踪
时，会发生阻止。
启用后，此策略允许在不生成审计记录的情况下完成
事件。此策略维护已删除审计记录的计数。
在安全性极为重要的环境中，适合使用禁用选项。
当系统可用性比安全性更重要时，适合使用启用选
项。
group 禁用后，此策略不会在审计记录中添加组列表。
启用后，此策略会在每条审计记录中添加组列表作为
特殊标记。
禁用选项通常可以满足站点的安全要求。
当需要审计哪些组正在生成审计事件时，适合使用
启用选项。
path 禁用后，此策略会在每条审计记录中最多记录一条在
系统调用期间所使用的路径。
启用后，此策略会将与审计事件结合使用的每条路径
记录到每条审计记录中。
禁用选项在审计记录中最多放置一条路径。
启用选项会将系统调用期间使用的每个文件名或路
径输入到审计记录中，作为path 标记。
perzone 禁用后，此策略针对每个系统只维护一个审计配置。
全局区域中运行一个审计守护进程。通过预选
zonename 审计标记，可在审计记录中找到非全局区域
中的审计事件。
启用后，此策略会为每个区域维护单独的审计配置、
审计队列和审计日志。每个区域中运行单独的审计守
护进程版本。只能在全局区域中启用此策略。
当您没有特殊的理由为每个区域维护单独的审计日
志、队列和守护进程时，禁用选项很有用。
当您无法仅通过预选zonename 审计标记来有效监
视系统时，启用选项很有用。
public 禁用后，如果预选文件的读取，则此策略不会将公共
对象的只读事件添加到审计跟踪。包含只读事件的审
计类包括fr、fa 和cl。
启用后，如果预选了适当的审计类，则此策略会记录
公共对象的每个只读审计事件。
禁用选项通常可以满足站点的安全要求。
启用选项很少有用。
seq 禁用后，此策略不会将序列号添加到每条审计记录
中。
启用后，此策略会将序列号添加到每条审计记录中。
sequence 标记保留序列号。
当审计顺利进行时，禁用选项便已够用。
当启用cnt 策略后，适合使用启用选项。利用seq
策略，可以确定废弃数据的时间。
trail 禁用后，此策略不会将trailer 标记添加到审计记录
中。
启用后，此策略会将trailer 标记添加到每条审计记
录中。
禁用选项会创建一条较短的审计记录。
启用选项会使用trailer 标记清晰地标记每条审计
记录的结束。trailer 标记经常与sequence 标记结
合使用。trailer 标记可以使审计记录的重新同步
更简单、更精确。
zonename 禁用后，此策略不会在审计记录中包括zonename 标
记。
启用后，此策略会在非全局区域的每条审计记录中包
括zonename 标记。
当无需跨区域比较审计行为时，禁用选项很有用。
当需要区分各区域中的审计行为并对其进行比较
时，启用选项很有用。
确定审计策略
532 系统管理指南：安全性服务• 2006 年9 月
控制审计成本
由于审计会占用系统资源，因此必须控制所记录内容的详细程度。当您决定要审计的内容
时，请考虑以下审计成本：
 延长处理时间带来的成本
 分析审计数据的成本
 存储审计数据的成本
延长审计数据的处理时间带来的成本
延长处理时间带来的成本是审计成本中最不重要的部分。第一个原因是在执行需要大量运
算的任务（例如映像处理、复杂计算等）时一般不会进行审计。另一个原因是单用户系统
的成本通常会小到可以忽略。
分析审计数据的成本
分析成本大致上与收集的审计数据量成比例。分析成本包括合并与查看审计记录所需的时
间，还包括将记录进行归档并保存在安全位置所需的时间。
生成的记录越少，分析审计跟踪数据所需的时间就越短。下面的第533 页中的“存储审计
数据的成本”和第534 页中的“有效审计”部分介绍了高效进行审计的方法。有效的审计
可减少审计数据量，同时仍保证足够的审计范围以实现站点的安全目标。
存储审计数据的成本
存储成本是最重要的审计成本。审计数据量取决于以下各项：
 用户数
 系统数
 使用量
 所需的可跟踪与可说明的程度
由于上述因素随站点不同而不同，因此没有公式可预先确定为审计数据存储预留的磁盘空
间量。请遵循以下原则：
 审慎地预选审计类，以减少生成的记录量。
全部审计（即使用all 类）会使磁盘空间很快被占满。即使编译程序之类的简单任务也
可能生成很大的审计文件。一般的程序在一分钟之内可能会生成数以千计的审计记录。
例如，通过忽略file_read 审计类fr，可以显著减少审计量。通过选择仅针对失败操作
进行审计，有时也会减少审计量。例如，与针对所有file_read 事件进行审计相比，针
对失败的file_read 操作（即-fr）进行审计而生成的记录会少很多。
 有效的审计文件管理也很重要。创建审计记录后，通过文件管理可减少所需的存储量。
控制审计成本
第28 章• 规划Solaris 审计533
 了解审计类
配置审计之前，应该了解类中包含的事件类型。可以更改审计事件到类的映射来优化审
计记录的收集。
 设计针对您站点的审计方案。
以可获知的因素为基础，设计您的审计方案。此类度量包括站点所需的可跟踪量，以及
管理的用户类型。
有效审计
以下技术可帮助您在更有效地进行审计的同时实现组织的安全目标。
 任何时刻均只对特定百分比的用户同时进行随机审计。
 通过合并、减少和压缩文件来降低审计文件的磁盘存储需求。制订对文件进行归档、将
文件传送到可移动介质和脱机存储文件的过程。
 实时监视审计数据有无异常行为。您可以扩展已经开发的管理和分析工具，以便处理
syslog 文件中的审计记录。
您还可以设置监视某些活动的审计跟踪的过程。可以编写这样一个脚本，在它检测到异
常事件时，以触发自动增加对特定用户或特定系统的审计作为响应。
例如，可以编写执行以下操作的脚本：
1. 监视所有审计文件服务器上审计文件的创建。
2. 使用tail 命令处理审计文件。
通过对tail -0f 命令输出内容实施praudit 命令管道操作，可以在生成记录时产生
审计记录流。有关更多信息，请参见tail(1) 手册页。
3. 分析此流以查看是否存在异常消息类型或其他指示符，并将分析结果提供给审计
者。
或者，可以使用脚本来触发自动响应。
4. 经常监视审计目录，以查看是否有新的not_terminated 审计文件出现。
5. 如果仍在运行的tail 进程不再向其文件中写入信息，请终止这些进程。
有效审计
534 系统管理指南：安全性服务• 2006 年9 月
管理Solaris 审计（任务）
本章介绍有助于设置和管理所审计的Solaris 系统的过程，同时还包括管理审计跟踪的说
明。以下是本章中信息的列表：
 第535 页中的“Solaris 审计（任务列表）”
 第536 页中的“配置审计文件（任务列表）”
 第546 页中的“配置和启用审计服务（任务列表）”
 第557 页中的“管理审计记录（任务列表）”
有关审计服务的概述，请参见第27 章。有关规划建议的信息，请参见第28 章。有关参考信
息，请参见第30 章。
Solaris 审计（任务列表）
以下任务列表介绍了管理审计所需执行的主要任务。这些任务是有序的。
任务说明参考
1. 规划审计包含在配置审计服务之前要决定的配置问题。第527 页中的“规划Solaris 审计
（任务列表）”
2. 配置审计文件定义需要审计的事件、类和用户。第536 页中的“配置审计文件（任
务列表）”
3. 配置和启用审计针对磁盘空间需求和其他审计服务要求配置每台
主机。然后，启动审计服务。
第546 页中的“配置和启用审计服
务（任务列表）”
4. 管理审计记录收集并分析审计数据。第557 页中的“管理审计记录（任
务列表）”
29 第2 9 章
535
配置审计文件（任务列表）
以下任务列表介绍了在站点上配置文件以自定义审计的过程。大多数任务是可选的。
任务说明参考
选择审计类，并自定义
audit_control 设置
涉及以下内容：
 预选系统范围的审计类
 指定每个系统的审计目录
 对审计文件系统设置磁盘空间限制
第536 页中的“如何修改
audit_control 文件”
（可选）以两种模式记录审计事
件
除了存储二进制格式的审计记录之外，还可以实
时监视审计事件。
第539 页中的“如何配置syslog 审
计日志”
（可选）更改用户的审计特征设置系统范围的预选审计类的特定于用户的例外
情况。
第541 页中的“如何更改用户审计
特征”
（可选）添加审计类通过创建用来保存事件的新审计类来减少审计记
录数目。
第543 页中的“如何添加审计类”
（可选）更改事件到类的映射通过更改事件到类的映射来减少审计记录数目。第544 页中的“如何更改审计事件
的类成员关系”
配置审计文件
在网络中启用审计之前，可以针对站点的审计要求自定义审计配置文件。另外，还可以在
启用审计服务之后重新启动审计服务或重新引导本地系统，以读取已更改的配置文件。但
是，推荐的做法是在启动审计服务前尽可能多地自定义审计配置。
如果已实现区域，则可以选择从全局区域审计所有区域。要区分审计输出中的区域，可以
设置zonename 策略选项。或者，可以在全局区域中设置perzone 策略，并在非全局区域中
自定义审计配置文件，以单独审计非全局区域。有关概述，请参见第579 页中的“审计和
Solaris Zones”。有关规划的信息，请参见第528 页中的“如何在区域中规划审计”。

如何修改audit_control 文件
/etc/security/audit_control 文件配置系统范围的审计。此文件可确定审计的事件，发出
审计警告的时间，以及审计文件的位置。
承担主管理员角色，或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户，请参见《System
Administration Guide: Basic Administration》中的第2 章，“WorkingWith the Solaris
Management Console (Tasks)”。
1
配置审计文件（任务列表）
536 系统管理指南：安全性服务• 2006 年9 月
（可选的）保存audit_control 文件的副本。
# cp /etc/security/audit_control /etc/security/audit_control.orig
修改站点的audit_control 文件。
每一项都具有以下格式：
keyword:value
keyword 定义行的类型。类型包括dir、flags、minfree、naflags 和plugin。dir 行可
以重复。
有关关键字的说明，请参见以下示例。有关plugin 项的示例，请参见第539 页
中的“如何配置syslog 审计日志”。
value 指定与行类型相关联的数据。
预选所有用户的审计类
audit_control 文件中的flags 行定义了针对系统上所有用户审计的可归属事件的类。这些
类用逗号分隔。允许使用空格。在本示例中，将为所有用户审计lo 类中的事件。
# audit_control file
dir:/var/audit
flags:lo
minfree:20
naflags:lo
要查看哪些事件位于lo 类中，请读取audit_event 文件。另外，还可以使用bsmrecord 命
令，如示例29–22 中所示。
预选无归属事件
在本示例中，将审计na 类中的所有事件，以及所有无归属的login 事件。
# audit_control file
dir:/var/audit
flags:lo
minfree:20
naflags:lo,na

 

 

以上文章转自于 ： http://developers.sun.com.cn/