- 论坛徽章:
- 0
|
aix之降龙18掌(欢迎跟贴,拒绝灌水)
建议改成--
18摸(IBM)秘笈
要监控cron事件,必须先要修改/etc/security/audit目录下的两个文件。它们是:
* /etc/security/audit/config: 该ASCII文件包含了audit系统配置信息。文件中含有五个部分:start, bin, stream, classes, 和users。
* /etc/security/audit/events: 该ASCII文件包含了有关audit事件的信息。文件中只含有一个部分:auditpr,它列出了系统中的所有audit事件以及用auditpr命令为每个事件输出监测结果的格式化信息。
下面是具体的配置步骤:
1. 在/etc/security/audit/config文件中的start部分,将streammode设置为ON,将binmode设置为OFF。显示如下:
start:
------binmode= off
------streammode= on
缺省的bin和stream部分的设置如下:
bin:
----trail = /audit/trail
----bin1 = /audit/bin1
----bin2 = /audit/bin2
----binsize = 10240
--- cmds = /etc/security/audit/bincmds
stream:
------cmds = /etc/security/audit/streamcmds
2. 将可监控的cron事件按照相似性归为一些audit类,然后在/etc/security/audit/config文件中的classes部分中定义这些类。CRON_Start和CRON_Finish事件是用于监控cron工作开始和结束的事件。下面列示了cron类的定义,该类中包含了audit可跟踪监控的cron事件:
cron = AT_JobAdd,AT_JobRemove,CRON_JobAdd,CRON_JobRemove,CRON_Start,CRON_Finish
3. 要将定义好的audit类对应于某一个用户,则在/etc/security/audit/config文件中的users部分中增加一行,格式如下:
<user>; = <audit class>;, <audit class>;
例如,若要允许跟踪root用户cron工作中的cron事件,输入:
root = cron
4. 从/etc/security/audit/events文件的列表中,选择或增加需要audit的系统事件。下面是对应于CRON_Start和CRON_Finish事件的例子:
CRON_Start = printf "event = %s cmd = %s time = %s"
CRON_Finish = printf "user = %s pid = %s time = %s"
5. audit输出的报告的文件名在/etc/security/audit/streamcmds文件中指定,streamcmds文件的缺省设置如下:
/etc/auditstream | auditpr -v >; /audit/stream.out &
6. 修改完config和events文件后,audit必须被重启以使所做的修改生效。若要重启audit,输入下述命令:
# audit shutdown
# audit start
* 推荐的补丁:
补丁号 AIX版本
IY08644 4.3.3 |
|