Log memulai/menghentikan peristiwa dari Sistem Audit

Saya sedang memperkuat kotak AIX 7.1 dan saya perlu memastikan bahwa semua permulaan/penghentian sistem "audit" dicatat di Sistem AIX.

Adakah yang punya ide tentang bagaimana saya bisa mencapai ini?


audit aix
person user1961382    schedule 24.07.2013    source sumber

Jawaban (1)


arrow_upward
1
arrow_downward

Di /etc/security/audit/events Anda memiliki:

* audit()
    AUD_It = printf "cmd: %d arg: %d"

Di /etc/security/audit/config tambahkan:

...
classes:
    others = AUD_It
...
users:
    root = others
    user = others
...

Saat Anda menjalankan perintah:

# audit start
# audit query
# audit shutdown

Kamu akan lihat:

# tail -f stream.out

event           login    status      time                     command                         wpar name
--------------- -------- ----------- ------------------------ ------------------------------- -------------------------
AUD_It          user     OK          Mon Aug 19 13:47:04 2013 audit
       cmd: 1 arg: 0
AUD_It          user     OK          Mon Aug 19 13:47:19 2013 audit
       cmd: 2 arg: 0
AUD_It          user     OK          Mon Aug 19 13:47:25 2013 audit
       cmd: 4 arg: 0

Di mana nilai cmd:

  • perintah mulai audit untuk mengaktifkan subsistem audit. Ini akan menghasilkan acara AUD_It dengan nilai 1

  • perintah audit query untuk melihat peristiwa dan objek mana yang diaudit. Ini akan menghasilkan event AUD_It dengan nilai 2

  • perintah audit shutdown untuk menonaktifkan subsistem audit lagi. Ini akan menghasilkan event AUD_It dengan nilai 4

(http://pic.dhe.ibm.com/infocenter/aix/v7r1/index.jsp?topic=/com.ibm.aix.security/doc/security/setting_up_auditing.htm)

person Oleg    schedule 20.08.2013