반응형
■ trusted system으로 전환이 되면 auditing 기능을 사용 가능
■ auditing을 시작하려면 sam(1m)에서 시작시키거나 /etc/rc.config.d에 있는 auditing file을 아래와 같이 수정
. . .
AUDITING=1
. . .
■ audit에 관련된 작업을 sam(1m)을 이용하여 할 수 있으나 아래의 명령으로도 수행 가능
audsys(1m) auditing 시작/종료
audusr(1m) audit 대상 사용자 설정
audevent(1m) event 또는 system call의 출력 및 상태 변경
audomon(1m) audit file의 overflow를 감시하는 daemon
audisp(1m) audit record를 출력
■ audit log file 관련 default 정보
primary log file = /.secure/etc/audfile1
primary log file의 switch size (AFS) = 5,000KB
보조 log file = /.secure/etc/audfile2
보조 log file의 switch size (AFS) = 1,000KB
monitor의 check interval = 1 분
허용 가능한 최소한의 file system의 free space (FSS) = 20%
경고를 보내기 시작하는 log file의 사용량 = 90%
■ event type은 audit이 수행되는 대상. 기본으로 "admin", "login" 그리고 "moddac" 가 선택됨.
반응형