我正在加固AIX 7.1框,我需要确保在AIX系统上记录“audit”系统的所有启动/停止。
有没有人知道如何实现这个目标?
答案 0 :(得分:1)
在/ etc / security / audit / events中你有:
* audit()
AUD_It = printf "cmd: %d arg: %d"
在/ etc / security / audit / config中添加:
...
classes:
others = AUD_It
...
users:
root = others
user = others
...
运行命令时:
# audit start
# audit query
# audit shutdown
你会看到:
# tail -f stream.out
event login status time command wpar name
--------------- -------- ----------- ------------------------ ------------------------------- -------------------------
AUD_It user OK Mon Aug 19 13:47:04 2013 audit
cmd: 1 arg: 0
AUD_It user OK Mon Aug 19 13:47:19 2013 audit
cmd: 2 arg: 0
AUD_It user OK Mon Aug 19 13:47:25 2013 audit
cmd: 4 arg: 0
cmd值:
审计启动命令以启用审计子系统。这将产生 值为1
审计查询命令,以查看审计了哪些事件和对象。这将生成值为2
audit shutdown命令再次停用审计子系统。这将生成值为4