ฉันกำลังทำให้กล่อง AIX 7.1 แข็งแกร่งขึ้น และฉันต้องแน่ใจว่าการเริ่ม/หยุดของระบบ "การตรวจสอบ" ทั้งหมดถูกบันทึกไว้บนระบบ AIX
ไม่มีใครมีความคิดว่าฉันจะทำสิ่งนี้สำเร็จได้อย่างไร
ฉันกำลังทำให้กล่อง AIX 7.1 แข็งแกร่งขึ้น และฉันต้องแน่ใจว่าการเริ่ม/หยุดของระบบ "การตรวจสอบ" ทั้งหมดถูกบันทึกไว้บนระบบ AIX
ไม่มีใครมีความคิดว่าฉันจะทำสิ่งนี้สำเร็จได้อย่างไร
ใน /etc/security/audit/events คุณมี:
* audit()
AUD_It = printf "cmd: %d arg: %d"
ใน /etc/security/audit/config เพิ่ม:
...
classes:
others = AUD_It
...
users:
root = others
user = others
...
เมื่อคุณรันคำสั่ง:
# audit start
# audit query
# audit shutdown
แล้วคุณจะได้เห็น:
# tail -f stream.out
event login status time command wpar name
--------------- -------- ----------- ------------------------ ------------------------------- -------------------------
AUD_It user OK Mon Aug 19 13:47:04 2013 audit
cmd: 1 arg: 0
AUD_It user OK Mon Aug 19 13:47:19 2013 audit
cmd: 2 arg: 0
AUD_It user OK Mon Aug 19 13:47:25 2013 audit
cmd: 4 arg: 0
โดยที่ค่า cmd:
คำสั่งเริ่มต้นการตรวจสอบเพื่อเปิดใช้งานระบบย่อยการตรวจสอบ สิ่งนี้จะสร้างเหตุการณ์ AUD_It ที่มีค่าเป็น 1
คำสั่งแบบสอบถามการตรวจสอบเพื่อดูว่าเหตุการณ์และวัตถุใดได้รับการตรวจสอบ สิ่งนี้จะสร้างเหตุการณ์ AUD_It ที่มีค่าเป็น 2
คำสั่งปิดการตรวจสอบเพื่อปิดใช้งานระบบย่อยการตรวจสอบอีกครั้ง สิ่งนี้จะสร้างเหตุการณ์ AUD_It ที่มีค่าเป็น 4