コミュニティ
system management
1752801 メンバー
5753 オンライン
108789 解決策
新規ポスト

audsysコマンド

 
エムキュ
時折のアドバイザー

‎01-20-2005 04:20 PM

‎01-20-2005 04:20 PM

audsysコマンド

高信頼性システムにて監査ログの切り替えが必要かと思いますが、samで監査ログを変更設定した場合と、audsysコマンドで設定した場合とでは、audsysコマンドで確認した限りでは反映されていいますが、/etc/rc.config.d/auditingへの反映結果が異なりました。

(例:PRI_AUDFILE=〜 や SEC_AUDFILE=〜)

samから変更した場合はauditingファイルへ反映されて、かつaudomonプロセスが再起動されています。しかしaudsysコマンドからの変更時は、auditingファイルへの反映及びaudomonプロセスの再起動はなされていません。OSの再起動後や「次の」監査ログへスイッチした後でもauditingファイルへの反映は見られませんでした。(監査ログファイル自体はコマンドで指定したとおりのファイルへスイッチされています)

これは特に問題ないのでしょうか?

(スイッチは正常に動作しているので)

OSは B.11.00です。

お分かりの方がいらっしゃいましたらご教授ください。

返信
3件の返信3
oops
貴重なコントリビューター

‎01-20-2005 09:22 PM

‎01-20-2005 09:22 PM

audsysコマンド

auditing に記載がないのに reboot しても反映されたままって不思議ですね。audsys(1M) の man ページには以下の警告がありますけど。

WARNINGS

All modifications made to the audit system are lost upon reboot. To

make the changes permanent, set AUDITING, PRI_AUDFILE, PRI_SWITCH,

SEC_AUDFILE, and SEC_SWITCH in /etc/rc.config.d/auditing.
0 感謝
返信
N.Hanyu
貴重なコントリビューター

‎01-21-2005 04:21 PM

‎01-21-2005 04:21 PM

audsysコマンド

こんにちは。

監査ログの仕組みですが、

# audsys -x /.secure/etc/audfile3 -z 1000

と、次のファイルの指定をすると

/.secure/etc/audnames

に反映されます。このとき、/etc/rc.config.d/auditing

には変更は入りません。

このauditingファイルと差分がある状態で、サーバ

リブートを行うと、rc処理内で、下記処理を実行します。

【停止処理】

# /usr/sbin/audsys -f

この時点で、/.secure/etc/audnamesは消去されません

【起動処理】

if ; then

 if ; then

  /usr/sbin/audsys -n

 fi

else

 /usr/sbin/audsys -n -c $PRI_AUDFILE -s $PRI_SWITCH

 -x $SEC_AUDFILE -z $SEC_SWITCH

fi

 上記のように、/etc/rc.config.d/auditingと

内容が違っても、/.secure/etc/audnamesが、設定されて

いればそちらが優先されます。

 実際運用に乗せる際は、いちいちsamで切り替えは

行わないと思うので、差分については気にしなくて

いいと思います。

>これは特に問題ないのでしょうか?

 以上のことから問題なしです。

ですが、監査システム自体を停止してしまうと

audnamesファイルが消えてしまうことだけは注意してください。監査システム起動状態でのリブートでは、

audnamesファイルは保持されるので大丈夫です。
返信
エムキュ
時折のアドバイザー

‎01-22-2005 07:28 PM

‎01-22-2005 07:28 PM

audsysコマンド

詳細な説明、有難う御座います。

audsysで変更後、監査システム自体を停止して、再度起動しても変更内容は、反映されないという事ですね。

0 感謝
返信
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります