IBM® AIX® V6.1 引入了基于软件的分区技术:工作负载分区(Workload Partitions,WPAR)。本文举例概述了 WPAR 环境中的审计子系统,包括:全局审计、WPAR 审计和起始于全局的 WPAR 审计。此外,本文还介绍了审计报告工具,通过它可以查看审计记录。
|
AIX 支持审计子系统,它使系统管理员能够记录维护系统安全所需的信息。可审计的事件是指发生在系统上的任何与系统安全有关的事件。审计核心就是检测可审计事件、收集与该事件有关的信息,然后处理信息以检查审计跟踪并定期生成报告。审计子系统还提供了监控审计跟踪的特性,并就安全威胁发出即时警报。
|
我们将讨论以下两个审计模式:
- 二进制模式
- 流模式
在二进制模式中,事件记录在两个二进制文件中。这两个二进制文件用于确保在处理审计记录时审计子系统总能够记录东西。
图 1. 二进制模式
在流模式中,记录是由审计伪设备(在处理记录时)同步记录的。
图 2. 流模式
本文转自IBM Developerworks中国