Saya sedang memperkuat kotak AIX 7.1 dan saya perlu memastikan bahwa semua permulaan/penghentian sistem "audit" dicatat di Sistem AIX.
Adakah yang punya ide tentang bagaimana saya bisa mencapai ini?
Saya sedang memperkuat kotak AIX 7.1 dan saya perlu memastikan bahwa semua permulaan/penghentian sistem "audit" dicatat di Sistem AIX.
Adakah yang punya ide tentang bagaimana saya bisa mencapai ini?
Di /etc/security/audit/events Anda memiliki:
* audit()
AUD_It = printf "cmd: %d arg: %d"
Di /etc/security/audit/config tambahkan:
...
classes:
others = AUD_It
...
users:
root = others
user = others
...
Saat Anda menjalankan perintah:
# audit start
# audit query
# audit shutdown
Kamu akan lihat:
# tail -f stream.out
event login status time command wpar name
--------------- -------- ----------- ------------------------ ------------------------------- -------------------------
AUD_It user OK Mon Aug 19 13:47:04 2013 audit
cmd: 1 arg: 0
AUD_It user OK Mon Aug 19 13:47:19 2013 audit
cmd: 2 arg: 0
AUD_It user OK Mon Aug 19 13:47:25 2013 audit
cmd: 4 arg: 0
Di mana nilai cmd:
perintah mulai audit untuk mengaktifkan subsistem audit. Ini akan menghasilkan acara AUD_It dengan nilai 1
perintah audit query untuk melihat peristiwa dan objek mana yang diaudit. Ini akan menghasilkan event AUD_It dengan nilai 2
perintah audit shutdown untuk menonaktifkan subsistem audit lagi. Ini akan menghasilkan event AUD_It dengan nilai 4