我正在强化 AIX 7.1 机器,我需要确保“审计”系统的所有启动/停止都记录在 AIX 系统上。
有谁知道我怎么能做到这一点?
问问题
1997 次
1 回答
1
在 /etc/security/audit/events 你有:
* audit()
AUD_It = printf "cmd: %d arg: %d"
在 /etc/security/audit/config 添加:
...
classes:
others = AUD_It
...
users:
root = others
user = others
...
当你运行命令时:
# audit start
# audit query
# audit shutdown
你会看见:
# tail -f stream.out
event login status time command wpar name
--------------- -------- ----------- ------------------------ ------------------------------- -------------------------
AUD_It user OK Mon Aug 19 13:47:04 2013 audit
cmd: 1 arg: 0
AUD_It user OK Mon Aug 19 13:47:19 2013 audit
cmd: 2 arg: 0
AUD_It user OK Mon Aug 19 13:47:25 2013 audit
cmd: 4 arg: 0
其中 cmd 值:
audit start 命令启用审计子系统。这将生成值为 1 的 AUD_It 事件
审计查询命令以查看审计了哪些事件和对象。这将生成值为 2 的 AUD_It 事件
audit shutdown 命令再次停用审计子系统。这将生成值为 4 的 AUD_It 事件
于 2013-08-20T16:42:56.247 回答