关闭

Solaris的Audit功能

标签: solariswindowsunix
2422人阅读 评论(0) 收藏 举报
分类:

这边遇到一个客户遇到一个文件丢失,不知道是谁删除的,也怀疑是某的程序问题,可一直没有找出来原因。其实Solaris包括其他UNIX自带审计Audit功能,可以纪录许多动作比如登入,文件操作读写及删除,应用程序等,就像Windows的事件察看器。

不过Solaris的Audit默认关闭。开启和使用的方式如下:

1> 在/etc/security/audit_control 文件中,在flags一行中加上fc, fd。fc和 fd分别代表文件创建和文件删除。
效果如下:
flags: fc, fd

2> 执行/etc/security/bsmconv 打开audit功能,

3> 重新启动 init 6

4> 察看audit日志的方法 praudit -s /var/audit/<file>

关闭audit功能: 执行/etc/security/bsmunconv, 重起。

详细配置audit_control文件,如audit文件大小,详见man audit_control(4)

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:235121次
    • 积分:2512
    • 等级:
    • 排名:第14631名
    • 原创:48篇
    • 转载:2篇
    • 译文:0篇
    • 评论:67条
    文章分类
    最新评论