Configuration du service d'audit (tâches)

Avant d'activer l'audit sur votre réseau, vous pouvez modifier les valeurs par défaut afin de répondre aux exigences en matière d'audit de votre site. Il est recommandé de personnaliser la configuration de l'audit autant que possible avant la connexion des premiers utilisateurs.

Si vous avez mis en oeuvre des zones, vous pouvez choisir d'auditer toutes les zones à partir de la zone globale ou les zones non globales une à une. Pour obtenir une présentation générale, reportez-vous à la section Audit et zones Oracle Solaris. Pour la planification, reportez-vous à la section Procédure de planification de l'audit par zone. Pour plus d'informations sur les procédures, reportez-vous à la section Configuration du service d'audit dans les zones (tâches).

Configuration du service d'audit (liste des tâches)

La liste des tâches suivante présente les procédures de configuration de l'audit. Toutes les tâches sont facultatives.

Tâche	Description	Voir
Affichage des valeurs par défaut de l'audit.	Avant la configuration de l'audit, affiche la stratégie par défaut, les contrôles de file d'attente, les indicateurs et l'utilisation des plug-ins.	Procédure d'affichage des paramètres par défaut du service d'audit
Sélection des événements qui font l'objet d'un audit.	Présélectionne les classes d'audit à l'échelle du système. Si un événement est attribuable, tous les utilisateurs sont soumis à un audit pour cet événement.	Procédure de présélection des classes d'audit
Sélection des événements qui font l'objet d'un audit pour des utilisateurs spécifiques.	Définit des exceptions utilisateur aux classes d'audit à l'échelle du système.	Procédure de configuration des caractéristiques d'audit d'un utilisateur
Spécification de la stratégie d'audit.	Définit d'autres données d'audit dont votre site a besoin.	Procédure de modification de la stratégie d'audit
Spécification des contrôles de file d'attente.	Modifie la taille de la mémoire tampon par défaut, les enregistrements d'audit dans la file d'attente et l'intervalle entre l'écriture des enregistrements d'audit dans la mémoire tampon.	Procédure de modification des contrôles de file d'attente d'audit
Création de l'alias de messagerie `audit_warn`.	Définit le destinataire des avertissements électroniques lorsque le service d'audit requiert l'attention d'un utilisateur.	Procédure de configuration de l'alias de messagerie `audit_warn`
Configuration des journaux d'audit.	Configure l'emplacement des enregistrements d'audit pour chaque plug-in.	Configuration des journaux d'audit (tâches)
Ajout des classes d'audit.	Réduit le nombre d'enregistrements d'audit en créant une nouvelle classe d'audit pour contenir les événements critiques.	Procédure d'ajout d'une classe d'audit
Modification des mappages événements-classes.	Réduit le nombre d'enregistrements d'audit en modifiant les mappages événements-classes.	Procédure de modification de l'appartenance à une classe d'un événement d'audit

Procédure d'affichage des paramètres par défaut du service d'audit

Les commandes de cette procédure affichent la configuration d'audit en cours. Le résultat de cette procédure est pris d'un système non configuré.

Avant de commencer

Le profil de droits Audit Configuration (configuration d'audit) ou Audit Control (contrôle d'audit) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Affichez les classes présélectionnées pour les événements attribuables.
```
# auditconfig -getflags
active user default audit flags = lo(0x1000,0x1000)
configured user default audit flags = lo(0x1000,0x1000)
```
lo est l'indicateur pour la classe d'audit login/logout. Le format de sortie du masque est (success, failure).
Affichez les classes présélectionnées pour les événements non attribuables.
```
# auditconfig -getnaflags
active non-attributable audit flags = lo(0x1000,0x1000)
configured non-attributable audit flags = lo(0x1000,0x1000)
```
Remarque - Pour afficher les événements qui sont affectés à une classe, et par conséquent, les événements qui sont en cours d'enregistrement, exécutez la commande auditrecord -c class.
Affichez la stratégie d'audit.
```
$ auditconfig -getpolicy
configured audit policies = cnt
active audit policies = cnt
```
La stratégie active est la stratégie en cours, mais la valeur de la stratégie n'est pas stockée par le service d'audit. La stratégie configurée est enregistrée par le service d'audit, de sorte qu'elle est restaurée lorsque vous redémarrez le service d'audit.

Affichez les informations sur les plug-ins d'audit.

$ auditconfig -getplugin
Plugin: audit_binfile (active)
    Attributes: p_dir=/var/audit;p_fsize=0;p_minfree=1;

Plugin: audit_syslog (inactive)
    Attributes: p_flags=;

Plugin: audit_remote (inactive)
    Attributes: p_hosts=;p_retries=3;p_timeout=5;

Le plug-in audit_binfile est actif par défaut.

Affichez les contrôles de la file d'attente de l'audit.

$ auditconfig -getqctrl
  no configured audit queue hiwater mark
  no configured audit queue lowater mark
  no configured audit queue buffer size
  no configured audit queue delay
  active audit queue hiwater mark (records) = 100
  active audit queue lowater mark (records) = 10
  active audit queue buffer size (bytes) = 8192
  active audit queue delay (ticks) = 20

Le contrôle de la file d'attente actif est celui qui est actuellement utilisé par le noyau. La chaîne no configured indique que le système utilise les valeurs par défaut.

Affichez les classes d'audit présélectionnées pour les utilisateurs existants.
Recherchez les utilisateurs, puis affichez la valeur d'attribut audit_flags de chaque utilisateur.
```
# who
adoe    pts/1        Oct 10 10:20    (:0.0)
adoe    pts/2        Oct 10 10:20    (:0.0)
jdoe    pts/5        Oct 12 12:20    (:0.0)
jdoe    pts/6        Oct 12 12:20    (:0.0)
...
# userattr audit_flags adoe
# userattr audit_flags jdoe
```
Par défaut, les utilisateurs sont soumis à un audit pour les paramètres à l'échelle du système uniquement.
La commande userattr est décrite à la page de manuel userattr(1). Le mot-clé audit_flags est décrit à la page de manuel user_attr(4).

Procédure de présélection des classes d'audit

Présélectionnez les classes d'audit qui contiennent les événements que vous voulez surveiller. Les événements qui ne sont pas dans des classes présélectionnées ne sont pas enregistrés.

Avant de commencer

Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Déterminez les classes présélectionnées actuelles.
```
# auditconfig -getflags
...
```
```
# auditconfig -getnaflags
,,,
```
Pour obtenir une explication de la sortie, reportez-vous à la section Procédure d'affichage des paramètres par défaut du service d'audit.
Présélectionnez les classes attribuables.
```
# auditconfig -setflags lo,ps,fw
user default audit flags = ps,lo,fw(0x101002,0x101002)
```
Cette commande effectue des audits des événements dans les classes de connexion/déconnexion, de démarrage/d'arrêt de processus et d'écriture de fichier, portant sur la réussite et l'échec.

Remarque - La commande auditconfig -setflags n'ajoute pas de classes aux paramètres par défaut du système. Cette commande remplace les paramètres par défaut du système, de sorte que vous devez spécifier toutes les classes que vous souhaitez présélectionner.
Présélectionnez les classes non attribuables.
La classe na contient des montages non attribuables, d'initialisation et de PROM, parmi d'autres événements.
```
# auditconfig -setnaflags lo,na
non-attributable audit flags = lo,na(0x1400,0x1400)
```
lo et na sont les seuls arguments utiles de l'option -setnaflags.

Remarque - La commande auditconfig -setnaflags remplace les valeurs par défaut du système, de sorte que vous devez spécifier toutes les classes que vous souhaitez présélectionner.

Procédure de configuration des caractéristiques d'audit d'un utilisateur

La présélection de classes par utilisateur plutôt que par système permet parfois de réduire l'impact de l'audit sur les performances du système. En outre, il peut être utile d'auditer des utilisateurs spécifiques de manière légèrement différente du système.

Les présélections de classe d'audit pour chaque utilisateur sont spécifiées par l'attribut de sécurité audit_flags. Ces valeurs spécifiques à l'utilisateur, conjointement aux classes présélectionnées pour le système, déterminent le masque d'audit de l'utilisateur, comme décrit dans la section Caractéristiques de l'audit de processus.

Avant de commencer

Vous devez être dans le rôle root.

Définissez les indicateurs d'audit dans la base de données user_attr ou prof_attr.
- Pour définir les indicateurs d'audit d'un utilisateur, utilisez la commande usermod.
```
# usermod -K audit_flags=fw:no jdoe
```
  Le format du mot-clé audit_flags est always-audit:never-audit.
  always-audit
  
  Répertorie les classes d'audit qui font l'objet d'un audit pour cet utilisateur. Les modifications apportées aux classes à l'échelle du système sont précédées d'un caret (^). Les classes qui sont ajoutées aux classes à l'échelle du système ne sont pas précédées d'un caret.
  
  never-audit
  
  Répertorie les classes d'audit qui ne font jamais l'objet d'un audit pour l'utilisateur, même si ces événements d'audit sont audités à l'échelle du système. Les modifications apportées aux classes à l'échelle du système sont précédées d'un caret (^).
  
  Pour spécifier plusieurs classes d'audit, séparez les classes par une virgule. Pour plus d'informations, reportez-vous à la page de manuel audit_flags(5).
- Pour définir des indicateurs d'audit pour un profil de droits, exécutez la commande profiles.
```
# profiles -p "System Administrator"
profiles:System Administrator> set name="Audited System Administrator"
profiles:Audited System Administrator> set always_audit=fw,as
profiles:Audited System Administrator> end
profiles:Audited System Administrator> exit
```
  Lorsque vous affectez le profil de droits Audited System Administrator (administrateur de système audité) à un utilisateur ou à un rôle, celui-ci fait l'objet d'un audit pour ces indicateurs, en fonction de l'ordre de recherche décrit à la section Ordre de recherche pour les attributs de sécurité affectés.

Exemple 28-1 Modification des événements à auditer pour un utilisateur

Dans cet exemple, le masque de présélection d'audit pour tous les utilisateurs est le suivant :

# auditconfig -getflags
active user default audit flags = ss,lo(0x11000,0x11000)
configured user default audit flags = ss,lo(0x11000,0x11000)

Aucun utilisateur, sauf l'administrateur, n'est connecté.

Pour réduire l'impact de l'événement d'audit AUE_PFEXEC sur les ressources système, l'administrateur n'effectue pas d'audit de cet événement au niveau du système. Au lieu de cela, l'administrateur présélectionne la classe pf pour un utilisateur, jdoe. La classe pf est créée dans l'Exemple 28-10.

# usermod -K audit_flags=pf:no jdoe

La commande userattr affiche l'ajout.

# userattr audit_flags jdoe
pf:no

Lorsque l'utilisateur jdoe se connecte, le masque de présélection d'audit jdoe est une combinaison des valeurs audit_flags et des valeurs par défaut du système. 289 est le PID du shell de connexion de jdoe .

# auditconfig -getpinfo 289
audit id = jdoe(1234)
process preselection mask = ss,pf,lo(0x0100000000000000,0x0100000008011000)
terminal id (maj,min,host) = 242,511,example1(192.168.160.171)
audit session id = 103203403

Exemple 28-2 Modification de l'exception de présélection d'audit pour un utilisateur

Dans cet exemple, le masque de présélection d'audit pour tous les utilisateurs est le suivant :

# auditconfig -getflags
active user default audit flags = ss,lo(0x11000,0x11000)
configured user default audit flags = ss,lo(0x11000,0x11000)

Aucun utilisateur, sauf l'administrateur, n'est connecté.

L'administrateur décide de ne pas collecter les événements ss qui ont échoué pour l'utilisateur jdoe.

# usermod -K audit_flags=^-ss:no jdoe

La commande userattr affiche l'exception.

# userattr audit_flags jdoe
^-ss:no

# auditconfig -getpinfo 289
audit id = jdoe(1234)
process preselection mask = +ss,lo(0x11000,0x1000)
terminal id (maj,min,host) = 242,511,example1(192.168.160.171)
audit session id = 103203403

Exemple 28-3 Audit des utilisateurs sélectionnés, pas d'audit à l'échelle du système

Dans cet exemple, les activités de connexion et de rôle de quatre utilisateurs sélectionnés sont auditées sur ce système. Aucune classe d'audit n'est présélectionnée pour le système.

Tout d'abord, l'administrateur supprime tous les indicateurs à l'échelle du système.

# auditconfig -setflags no
user default audit flags = no(0x0,0x0)

Ensuite, il présélectionne deux classes d'audit pour les quatre utilisateurs. La classe pf est créée dans l'Exemple 28-10.

# usermod -K audit_flags=lo,pf:no jdoe
# usermod -K audit_flags=lo,pf:no kdoe
# usermod -K audit_flags=lo,pf:no pdoe
# usermod -K audit_flags=lo,pf:no zdoe

Ensuite, l'administrateur présélectionne la classe pf pour le rôle root.

# userattr audit_flags root
# rolemod -K audit_flags=lo,pf:no root
# userattr audit_flags root
lo,pf:no

Pour continuer d'enregistrer l'intrusion injustifiée, l'administrateur ne change pas l'audit des connexions non attribuables.

# auditconfig -getnaflags
active non-attributable audit flags = lo(0x1000,0x1000)
configured non-attributable audit flags = lo(0x1000,0x1000)

Exemple 28-4 Suppression des indicateurs d'audit d'un utilisateur

Dans l'exemple suivant, l'administrateur supprime tous les indicateurs d'audit spécifiques à l'utilisateur. Les processus existants d'utilisateurs qui sont actuellement connectés continuent à faire l'objet d'un audit.

L'administrateur exécute la commande usermod avec le mot-clé audit_flags défini sur aucune valeur.

# usermod -K audit_flags= jdoe
# usermod -K audit_flags= kdoe
# usermod -K audit_flags= ldoe

Ensuite, l'administrateur vérifie la suppression.

# userattr audit_flags jdoe
# userattr audit_flags kdoe
# userattr audit_flags ldoe

Exemple 28-5 Création d'un profil de droits pour un groupe d'utilisateurs

L'administrateur souhaite que tous les profils de droits d'administration du site auditent explicitement la classe pf. Pour chaque profil de droits à affecter, l'administrateur crée une version spécifique au site dans LDAP, qui inclut les indicateurs d'audit.

Tout d'abord, l'administrateur clone un profil de droits existant, puis change le nom et ajoute des indicateurs d'audit.

# profiles -p "Network Wifi Management" -S ldap
profiles: Network Wifi Management> set name="Wifi Management"
profiles: Wifi Management> set desc="Audited wifi management"
profiles: Wifi Management> set audit_always=pf
profiles: Wifi Management> exit

Après avoir reproduit cette procédure pour chaque profil de droits à utiliser, l'administrateur répertorie les informations dans le profil Wifi Management (gestion Wifi).

# profiles -p "Wifi Management" -S ldap info
name=Wifi Management
desc=Audited wifi management
auths=solaris.network.wifi.config
help=RtNetWifiMngmnt.html
always_audit=pf

Procédure de modification de la stratégie d'audit

La stratégie d'audit détermine les caractéristiques des enregistrements d'audit pour le système local. Il peut être utile de modifier la stratégie d'audit pour enregistrer des informations détaillées sur les commandes auditées, ajouter un nom de zone à chaque enregistrement ou satisfaire aux exigences d'autres sites en matière de sécurité.

Avant de commencer

Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Affichez la stratégie d'audit actuelle.
```
$ auditconfig -getpolicy
...
```
Pour obtenir une explication de la sortie, reportez-vous à la section Procédure d'affichage des paramètres par défaut du service d'audit.

Affichez les options de stratégie disponibles.

$ auditconfig -lspolicy
policy string    description:
ahlt             halt machine if it can not record an async event
all              all policies for the zone
arge             include exec environment args in audit recs
argv             include exec command line args in audit recs
cnt              when no more space, drop recs and keep a cnt
group            include supplementary groups in audit recs
none             no policies
path             allow multiple paths per event
perzone          use a separate queue and auditd per zone
public           audit public files
seq              include a sequence number in audit recs
trail            include trailer token in audit recs
windata_down     include downgraded window information in audit recs
windata_up       include upgraded window information in audit recs
zonename         include zonename token in audit recs

Remarque - Les options de stratégie perzone et ahlt ne peuvent être définies que dans la zone globale. Pour que les compromis utilisent une option de stratégie particulière, reportez-vous à la section Assimilation des concepts de stratégie d'audit.

Activez ou désactivez les options de stratégie d'audit sélectionnées.
```
# auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
```
-t

Facultatif. Crée une stratégie temporaire ou active. Vous pouvez définir une stratégie temporaire à des fins de débogage ou de test.
Une politique temporaire reste en vigueur jusqu'à ce que le service d'audit soit actualisé ou que la stratégie soit modifiée par la commande auditconfig -setpolicy.

prefix

La valeur prefix + ajoute la liste des stratégies à la stratégie actuelle. La valeur prefix - supprime la liste des stratégies de la stratégie actuelle. Sans un préfixe, la stratégie d'audit est réinitialisée. Cette option vous permet de conserver les stratégies d'audit en cours.

policy

Sélectionne la stratégie à activer ou désactiver.

Exemple 28-6 Définition de l'option de stratégie d'audit ahlt

Dans cet exemple, la stratégie cnt est désactivée et la stratégie ahlt est activée. Avec cette configuration, l'utilisation du système est interrompue lorsque les files d'attente d'audit sont complètes et qu'un événement asynchrone se produit. Lorsqu'un événement synchrone se produit, le processus qui a créé le thread se bloque. Cette configuration est appropriée lorsque la sécurité est plus importante que la disponibilité. Pour plus d'informations, reportez-vous à la section Stratégies d'audit des événements asynchrones et synchrones.

# auditconfig -setpolicy -cnt
# auditconfig -setpolicy +ahlt

Le signe plus (+) avant la stratégie ahlt ajoute la stratégie aux paramètres de stratégie en cours. Sans le signe plus, la stratégie ahlt remplace les paramètres de la stratégie actuelle.

Exemple 28-7 Définition d'une stratégie d'audit temporaire

Dans cet exemple, le service d'audit est activé et la stratégie d'audit ahlt est configurée. L'administrateur ajoute la stratégie d'audit trail à la stratégie active (+trail), mais ne configure pas le service d'audit pour une utilisation permanente de la stratégie d'audit trail (-t). La stratégie trail contribue à la restauration des pistes d'audit endommagées.

$ auditconfig -setpolicy ahlt
$ auditconfig -getpolicy
  configured audit policies = ahlt
  active audit policies = ahlt
$ auditconfig -t -setpolicy +trail
  configured audit policies = ahlt
  active audit policies = ahlt,trail

L'administrateur désactive la stratégie trail lorsque le débogage est terminé.

$ auditconfig -setpolicy -trail
$ auditconfig -getpolicy
  configured audit policies = ahlt
  active audit policies = ahlt

L'actualisation du service d'audit à l'aide de la commande audit -s supprime également cette stratégie temporaire, ainsi que d'autres valeurs temporaires dans le service d'audit. Pour obtenir des exemples d'autres valeurs temporaires, reportez-vous à la section Procédure de modification des contrôles de file d'attente d'audit.

Exemple 28-8 Définition de la stratégie d'audit perzone

Dans cet exemple, la stratégie d'audit perzone est ajoutée à la stratégie existante dans la zone globale. Le paramètre de stratégie perzone est stocké en tant que propriété permanente, de sorte que la stratégie perzone est en vigueur au cours de la session et au redémarrage du service d'audit.

$ auditconfig -getpolicy
  configured audit policies = cnt
  active audit policies = cnt
$ auditconfig -setpolicy +perzone
$ auditconfig -getpolicy
  configured audit policies = perzone,cnt
  active audit policies = perzone,cnt

Procédure de modification des contrôles de file d'attente d'audit

Le service d'audit fournit des valeurs par défaut pour les paramètres de file d'attente d'audit. Vous pouvez examiner, modifier définitivement et modifier temporairement ces valeurs à l'aide de la commande auditconfig.

Avant de commencer

Le profil de droits Audit Configuration (configuration d'audit) doit vous avoir été attribué.

Endossez le rôle d'administrateur et dotez-vous des attributs de sécurité nécessaires.
Pour plus d'informations, reportez-vous à la section Procédure d'obtention des droits d'administration.
Affichez les valeurs actuelles des contrôles de file d'attente d'audit.
```
$ auditconfig -getqctrl
...
```
Pour obtenir une explication de la sortie, reportez-vous à la section Procédure d'affichage des paramètres par défaut du service d'audit.
Modifiez les contrôles de file d'attente d'audit sélectionnés.
Pour obtenir des exemples et une description des contrôles de file d'attente d'audit, reportez-vous à la page de manuel auditconfig(1M).
- Pour modifier certains ou tous les contrôles de file d'attente d'audit, utilisez l'option -setqctrl.
```
# auditconfig [ -t ] -setqctrl hiwater lowater bufsz interval
```
  Par exemple, définissez la valeur interval sur 10 sans définir d'autres contrôles.
```
# auditconfig -setqctrl 0 0 0 10
```
- Pour modifier un contrôle de file d'attente d'audit donné, spécifiez son option. L'option -setqdelay est l'équivalent de -setqctrl 0 0 0 interval, comme dans # auditconfig -setqdelay 10.
```
# auditconfig [ -t ] -setqhiwater value
# auditconfig [ -t ] -setqlowater value
# auditconfig [ -t ] -setqbufsz value
# auditconfig [ -t ] -setqdelay value
```

Exemple 28-9 Rétablissement de la valeur par défaut d'un contrôle de file d'attente d'audit

L'administrateur définit tous les contrôles de file d'attente d'audit, puis modifie la valeur lowater dans le référentiel par la valeur par défaut.

# auditconfig -setqctrl 200 5 10216 10
# auditconfig -setqctrl 200 0 10216 10
configured audit queue hiwater mark (records) = 200
no configured audit queue lowater mark
configured audit queue buffer size (bytes) = 10216
configured audit queue delay (ticks) = 10
active audit queue hiwater mark (records) = 200
active audit queue lowater mark (records) = 5
active audit queue buffer size (bytes) = 10216
active audit queue delay (ticks) = 10

Par la suite, l'administrateur définit la valeur lowater par la valeur par défaut pour la session en cours.

# auditconfig -setqlowater 10
# auditconfig -getqlowater
configured audit queue lowater mark (records) = 10
active audit queue lowater mark (records) = 10

Procédure de configuration de l'alias de messagerie `audit_warn`

Le script /etc/security/audit_warn génère un message pour informer l'administrateur d'incidents d'audit qui nécessitent son attention. Vous pouvez personnaliser le script et envoyer le message à un compte autre que root.

Si la stratégie perzone est définie, l'administrateur de la zone non globale doit configurer l'alias de messagerie audit_warn dans la zone non globale.

Avant de commencer

Vous devez être dans le rôle root.

Configurez l'alias de messagerie audit_warn.

Procédez de l'une des manières suivantes :

OPTION 1 : remplacez l'alias de messagerie audit_warn par un autre compte de messagerie dans le script audit_warn.

Remplacez l'alias de messagerie audit_warn dans la ligne ADDRESS du script par une autre adresse :

#ADDRESS=audit_warn            # standard alias for audit alerts
ADDRESS=audadmin            # role alias for audit alerts

Attention - Lorsque vous effectuez une mise à niveau vers une nouvelle version du SE Oracle Solaris, vous devez fusionner manuellement votre fichier audit_warn personnalisé avec le fichier audit_warn.new. Ce nouveau fichier peut contenir des modifications importantes. Pour obtenir une description de l'action du fichier preserve=renamenew sur la mise à niveau, reportez-vous à la page de manuel pkg(5).

OPTION 2 : redirigez l'e-mail audit_warn vers un autre compte de messagerie.

Dans ce cas, vous devez ajouter l'alias de messagerie audit_warn au fichier d'alias de messagerie approprié. Vous pouvez ajouter l'alias au fichier local /etc/mail/aliases ou à la base de données mail_aliases de l'espace de noms. L'entrée /etc/mail/aliases doit ressembler à ce qui suit si les comptes électroniques root et audadmin ont été ajoutés en tant que membres de l'alias de messagerie audit_warn :
```
audit_warn: root,audadmin
```
Ensuite, exécutez la commande newaliases pour reconstruire la base de données d'accès aléatoire pour le fichier alias.
```
# newaliases
/etc/mail/aliases: 14 aliases, longest 10 bytes, 156 bytes total
```

Procédure d'ajout d'une classe d'audit

Lorsque vous créez votre propre classe d'audit, vous pouvez y placer uniquement les événements que vous souhaitez auditer pour votre site.

Lorsque vous ajoutez la classe sur un seul système, copiez la modification sur tous les systèmes audités. Il est préférable de créer les classes d'audit avant d'activer le service d'audit.

Attention - Lorsque vous effectuez une mise à niveau vers une nouvelle version du SE Oracle Solaris, vous devez fusionner manuellement votre fichier audit_class personnalisé avec le fichier audit_class.new. Ce nouveau fichier peut contenir des modifications importantes. Pour obtenir une description de l'action du fichier preserve=renamenew sur la mise à niveau, reportez-vous à la page de manuel pkg(5).

Avant de commencer

L'entrée doit être unique. Vous devez choisir des bits libres. Les bits disponibles à l'usage du client sont décrits dans le fichier /etc/security/audit_class.

Vous devez être dans le rôle root.

(Facultatif) Enregistrez une copie de sauvegarde du fichier audit_class.
```
# cp /etc/security/audit_class /etc/security/audit_class.orig
```
Ajoutez de nouvelles entrées au fichier audit_class.
Chaque entrée possède le format suivant :
```
0x64bitnumber:flag:description
```
Pour une description des champs, reportez-vous à la page de manuel audit_class(4). Pour obtenir la liste des classes existantes, consultez le fichier /etc/security/audit_class.

Exemple 28-10 Création d'une nouvelle classe d'audit

Cet exemple crée une classe pour contenir les commandes d'administration exécutées dans le cadre d'un rôle. L'entrée ajoutée au fichier audit_class se présente comme suit :

0x0100000000000000:pf:profile command

L'entrée crée la nouvelle classe d'audit pf. L'Exemple 28-11 remplit la nouvelle classe d'audit.

Erreurs fréquentes

Si vous avez personnalisé le fichier audit_class, assurez-vous que les exceptions utilisateur éventuelles au masque de présélection d'audit du système sont cohérentes avec les nouvelles classes d'audit. Des erreurs se produisent lorsqu'une valeur audit_flags n'est pas un sous-ensemble du fichier audit_class.

Procédure de modification de l'appartenance à une classe d'un événement d'audit

Vous pouvez être amené à modifier l'appartenance à une classe d'un événement d'audit pour réduire la taille d'une classe d'audit ou pour placer l'événement dans une classe à part.

Attention - Ne commentez jamais les événements dans le fichier audit_event. Ce fichier est utilisé par la commande praudit binaire pour lire les fichiers d'audit binaires. Les fichiers d'audit archivés peuvent contenir des événements répertoriés dans le fichier.

Lorsque vous reconfigurez les mappages événements-classes d'audit d'un système, copiez la modification sur tous les systèmes audités. Il est vivement conseillé de modifier les mappages événements-classes avant que les utilisateurs ne se connectent.

Attention - Lorsque vous effectuez une mise à niveau vers une nouvelle version du SE Oracle Solaris, vous devez fusionner manuellement votre fichier audit_event personnalisé avec le fichier audit_event.new. Ce nouveau fichier peut contenir des modifications importantes. Pour obtenir une description de l'action du fichier preserve=renamenew sur la mise à niveau, reportez-vous à la page de manuel pkg(5).

Avant de commencer

Vous devez être dans le rôle root.

(Facultatif) Enregistrez une copie de sauvegarde du fichier audit_event.
```
# cp /etc/security/audit_event /etc/security/audit_event.orig
```
Modifiez la classe à laquelle appartiennent des événements particuliers en modifiant la valeur class-list de ces événements.
Chaque entrée possède le format suivant :
```
number:name:description:class-list
```
number

ID de l'événement d'audit.

name

Nom de l'événement d'audit.

description

En règle générale, l'appel système ou l'exécutable qui déclenche la création d'un enregistrement d'audit.

class-list

Liste de classes d'audit séparées par des virgules.

Exemple 28-11 Mappage d'événements d'audit existants sur une nouvelle classe

Dans cet exemple, un événement d'audit existant est mappé à la nouvelle classe créée dans l'Exemple 28-10. Par défaut, l'événement d'audit AUE_PFEXEC est mappé à quatre classes, ps, ex, ua et as. En créant la nouvelle classe, l'administrateur peut auditer les événements AUE_PFEXEC sans auditer les événements dans les quatre autres classes.

# grep pf /etc/security/audit_class
0x0100000000000000:pf:profile command
# vi /etc/security/audit_event
116:AUE_PFEXEC:execve(2) with pfexec enabled:pf
# auditconfig -setflags lo,pf
user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français)