Configuración del servicio de auditoría (tareas)

Antes de habilitar la auditoría en su red, puede modificar los valores predeterminados para satisfacer los requisitos de auditoría de su sitio. Lo mejor es personalizar la configuración de auditoría lo más posible antes de que los primeros usuarios inicien sesión.

Si ha implementado zonas, puede decidir auditar todas las zonas de la zona global o auditar las zonas no globales individualmente. Para obtener una descripción general, consulte Auditoría y zonas de Oracle Solaris. Para obtener información sobre planificación, consulte Cómo planificar auditoría en zonas. Para obtener información sobre los procedimientos, consulte Configuración del servicio de auditoría en las zonas (tareas).

Configuración del servicio de auditoría (mapa de tareas)

En el siguiente mapa de tareas, se hace referencia a los procedimientos para configurar la auditoría. Todas las tareas son opcionales.

Tarea	Descripción	Para obtener instrucciones
Mostrar valores predeterminados de auditoría.	Antes de configurar la auditoría, muestra la política predeterminada, los controles de colas, los indicadores y el uso de complementos.	Cómo visualizar los valores predeterminados del servicio de auditoría
Seleccionar los eventos que se han auditado.	Selecciona previamente en todo el sistema clases de auditoría. Si un evento es atribuible, todos los usuarios se auditan para este evento.	Cómo preseleccionar clases de auditoría
Seleccionar los eventos que se van a auditar para usuarios concretos.	Establece excepciones específicas de usuarios para las clases de auditoría en todo el sistema.	Cómo configurar las características de auditoría de un usuario
Especificar la política de auditoría.	Define datos adicionales de auditoría que el sitio necesita.	Cómo cambiar la política de auditoría
Especificar controles de colas.	Modifica el tamaño predeterminado de la memoria intermedia, los registros de auditoría en la cola y el intervalo de escritura de registros de auditoría en la memoria intermedia.	Cómo cambiar controles de colas de auditoría
Crear el alias de correo electrónico `audit_warn`.	Define quién recibe advertencias por correo electrónico cuando el servicio de auditoría necesita atención.	Cómo configurar el alias de correo electrónico `audit_warn`
Configurar registros de auditoría.	Configura la ubicación de los registros de auditoría de cada complemento.	Configuración de registros de auditoría (tareas)
Agregar clases de auditoría.	Reduce el número de registros de auditoría mediante la creación de una nueva clase de auditoría para retener eventos críticos.	Cómo agregar una clase de auditoría
Cambiar asignaciones de evento-clase.	Reduce el número de registros de auditoría mediante el cambio de la asignación de evento-clase.	Cómo cambiar una pertenencia a clase de un evento de auditoría

Cómo visualizar los valores predeterminados del servicio de auditoría

Los comandos en este procedimiento muestran la configuración de auditoría actual. La salida en este procedimiento se toma de un sistema no configurado.

Antes de empezar

Debe tener asignado el perfil de derechos de control de auditoría o de configuración de auditoría.

Conviértase en administrador con los atributos de seguridad necesarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Visualice las clases preseleccionadas para eventos atribuibles.
```
# auditconfig -getflags
active user default audit flags = lo(0x1000,0x1000)
configured user default audit flags = lo(0x1000,0x1000)
```
lo es el indicador para la clase de auditoría login/logout. El formato de la salida de la máscara es (éxito, fallo).
Visualice las clases preseleccionadas para eventos no atribuibles.
```
# auditconfig -getnaflags
active non-attributable audit flags = lo(0x1000,0x1000)
configured non-attributable audit flags = lo(0x1000,0x1000)
```
Nota - Para ver qué eventos están asignados a una clase y, por lo tanto, qué eventos se registran, ejecute el comando auditrecord -c clase.
Visualice la política de auditoría.
```
$ auditconfig -getpolicy
configured audit policies = cnt
active audit policies = cnt
```
La política activa es la política actual, pero el valor de la política no es almacenado por el servicio de auditoría. La política configurada es almacenada por el servicio de auditoría, por lo que la política se restaura al reiniciar el servicio de auditoría.

Visualice información sobre los complementos de auditoría.

$ auditconfig -getplugin
Plugin: audit_binfile (active)
    Attributes: p_dir=/var/audit;p_fsize=0;p_minfree=1;

Plugin: audit_syslog (inactive)
    Attributes: p_flags=;

Plugin: audit_remote (inactive)
    Attributes: p_hosts=;p_retries=3;p_timeout=5;

El complemento audit_binfile está activo de manera predeterminada.

Visualice los controles de colas de auditoría.

$ auditconfig -getqctrl
  no configured audit queue hiwater mark
  no configured audit queue lowater mark
  no configured audit queue buffer size
  no configured audit queue delay
  active audit queue hiwater mark (records) = 100
  active audit queue lowater mark (records) = 10
  active audit queue buffer size (bytes) = 8192
  active audit queue delay (ticks) = 20

El control de colas activo es el control de colas que está siendo utilizado actualmente por el núcleo. La cadena no configured indica que el sistema está utilizando los valores predeterminados.

Visualice las clases de auditoría que están preseleccionadas para usuarios existentes.
Busque los usuarios y, a continuación, visualice el valor de atributo audit_flags del usuario.
```
# who
adoe    pts/1        Oct 10 10:20    (:0.0)
adoe    pts/2        Oct 10 10:20    (:0.0)
jdoe    pts/5        Oct 12 12:20    (:0.0)
jdoe    pts/6        Oct 12 12:20    (:0.0)
...
# userattr audit_flags adoe
# userattr audit_flags jdoe
```
De manera predeterminada, los usuarios sólo se auditan para la configuración en todo el sistema.
Para ver una descripción del comando userattr, consulte la página del comando man userattr(1). Para ver una descripción de la palabra clave audit_flags, consulte la página del comando user_attr(4).

Cómo preseleccionar clases de auditoría

Preseleccione clases de auditoría que contienen los eventos que desea supervisar. Los eventos que no están en clases preseleccionadas no se registran.

Antes de empezar

Debe tener asignado el perfil de derechos de configuración de auditoría.

Conviértase en administrador con los atributos de seguridad necesarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Determine las clases preseleccionadas actuales.
```
# auditconfig -getflags
...
```
```
# auditconfig -getnaflags
,,,
```
Para obtener una explicación de la salida, consulte Cómo visualizar los valores predeterminados del servicio de auditoría.
Preseleccione las clases atribuibles.
```
# auditconfig -setflags lo,ps,fw
user default audit flags = ps,lo,fw(0x101002,0x101002)
```
Este comando audita los eventos en las clases de inicio y cierre de sesión, inicio y detención de procesos y escritura de archivos para determinar si se efectuaron con éxito o fallaron.

Nota - El comando auditconfig -setflags no agrega clases a los valores predeterminados actuales del sistema. Este comando sustituye los valores predeterminados del sistema, por lo que debe especificar todas las clases que desea preseleccionar.
Preseleccione las clases no atribuibles.
La clase na contiene montajes no atribuibles, de inicio y de PROM, entre otros eventos.
```
# auditconfig -setnaflags lo,na
non-attributable audit flags = lo,na(0x1400,0x1400)
```
Los argumentos lo y na son los únicos argumentos útiles de la opción -setnaflags.

Nota - El comando auditconfig -setnaflags sustituye los valores predeterminados del sistema, por lo que usted debe especificar todas las clases que desea preseleccionar.

Cómo configurar las características de auditoría de un usuario

Mediante la preselección de clases por usuario en lugar de por sistema, a veces, puede reducir el impacto de la auditoría en el rendimiento del sistema. También puede que desee auditar a usuarios específicos de manera ligeramente diferente del sistema.

Las preselecciones de clase de auditoría para cada usuario son especificadas por el atributo de seguridad audit_flags. Estos valores específicos de usuario, además de las clases preseleccionadas para el sistema, determinan la máscara de auditoría del usuario, como se describe en Características del proceso de auditoría.

Antes de empezar

Debe tener el rol root.

Defina los indicadores de auditoría en la base de datos user_attr o prof_attr.
- Para definir indicadores de auditoría de un usuario, utilice el comando usermod.
```
# usermod -K audit_flags=fw:no jdoe
```
  El formato de la palabra clave audit_flags es siempre_auditar:nunca_auditar.
  siempre_auditar
  
  Muestra las clases de auditoría que se van a auditar para este usuario. Las modificaciones a las clases de todo el sistema están precedidas por un signo de intercalación (^). Las clases que se agregan a las clases de todo el sistema no están precedidas por un signo de intercalación.
  
  nunca_auditar
  
  Muestra las clases de auditoría que nunca se van a auditar para el usuario, incluso si estos eventos de auditoría se auditan en todo el sistema. Las modificaciones a las clases de todo el sistema están precedidas por un signo de intercalación (^).
  
  Para especificar varias clases de auditoría, separe las clases con comas. Para obtener más información, consulte la página del comando man audit_flags(5).
- Para definir indicadores de auditoría para un perfil de derechos., utilice el comando profiles.
```
# profiles -p "System Administrator"
profiles:System Administrator> set name="Audited System Administrator"
profiles:Audited System Administrator> set always_audit=fw,as
profiles:Audited System Administrator> end
profiles:Audited System Administrator> exit
```
  Cuando asigna el perfil de derechos de administrador del sistema auditado a un usuario o un rol, ese usuario o rol se audita en busca de esos indicadores, según el orden de búsqueda, como se describe en Orden de búsqueda para atributos de seguridad asignados.

Ejemplo 28-1 Cambio de eventos que se van a auditar para un usuario

En este ejemplo, la máscara de preselección de auditoría para todos los usuarios es la siguiente:

# auditconfig -getflags
active user default audit flags = ss,lo(0x11000,0x11000)
configured user default audit flags = ss,lo(0x11000,0x11000)

Ningún usuario, excepto el administrador, inicia sesión.

Para reducir el impacto del evento de auditoría AUE_PFEXEC en los recursos del sistema, el administrador no audita este evento en el nivel del sistema. En su lugar, el administrador selecciona previamente la clase pf para un usuario, jdoe. La clase pf se crea en el Ejemplo 28-10.

# usermod -K audit_flags=pf:no jdoe

El comando userattr muestra la adición.

# userattr audit_flags jdoe
pf:no

Cuando el usuario jdoe inicia sesión, la máscara de preselección de auditoría de jdoe es una combinación de los valores audit_flags con los valores predeterminados del sistema. 289 es el PID del shell de inicio de sesión de jdoe.

# auditconfig -getpinfo 289
audit id = jdoe(1234)
process preselection mask = ss,pf,lo(0x0100000000000000,0x0100000008011000)
terminal id (maj,min,host) = 242,511,example1(192.168.160.171)
audit session id = 103203403

Ejemplo 28-2 Modificación de excepción de preselección de auditoría para un usuario

En este ejemplo, la máscara de preselección de auditoría para todos los usuarios es la siguiente:

# auditconfig -getflags
active user default audit flags = ss,lo(0x11000,0x11000)
configured user default audit flags = ss,lo(0x11000,0x11000)

Ningún usuario, excepto el administrador, inicia sesión.

El administrador decide no recopilar eventos ss fallidos para el usuario jdoe.

# usermod -K audit_flags=^-ss:no jdoe

El comando userattr muestra la excepción.

# userattr audit_flags jdoe
^-ss:no

# auditconfig -getpinfo 289
audit id = jdoe(1234)
process preselection mask = +ss,lo(0x11000,0x1000)
terminal id (maj,min,host) = 242,511,example1(192.168.160.171)
audit session id = 103203403

Ejemplo 28-3 Auditoría de usuarios seleccionados, sin auditoría en todo el sistema

En este ejemplo, se auditan el inicio de sesión y las actividades de rol de cuatro usuarios seleccionados en el sistema. No se preseleccionan clases de auditoría para el sistema.

En primer lugar, el administrador elimina todos los indicadores en todo el sistema.

# auditconfig -setflags no
user default audit flags = no(0x0,0x0)

A continuación, el administrador selecciona previamente dos clases de auditoría para los cuatro usuarios. La clase pf se crea en el Ejemplo 28-10.

# usermod -K audit_flags=lo,pf:no jdoe
# usermod -K audit_flags=lo,pf:no kdoe
# usermod -K audit_flags=lo,pf:no pdoe
# usermod -K audit_flags=lo,pf:no zdoe

A continuación, el administrador selecciona previamente la clase pf para el rol root.

# userattr audit_flags root
# rolemod -K audit_flags=lo,pf:no root
# userattr audit_flags root
lo,pf:no

Para registrar intrusiones injustificadas, el administrador no cambia la auditoría de inicios de sesión no atribuibles.

# auditconfig -getnaflags
active non-attributable audit flags = lo(0x1000,0x1000)
configured non-attributable audit flags = lo(0x1000,0x1000)

Ejemplo 28-4 Eliminación de indicadores de auditoría de un usuario

En el siguiente ejemplo, el administrador elimina todos los indicadores de auditoría específicos de usuario. Los procesos existentes de usuarios que han iniciado sesión actualmente siguen siendo auditados.

El administrador ejecuta el comando usermod con la palabra clave audit_flags establecida en ningún valor.

# usermod -K audit_flags= jdoe
# usermod -K audit_flags= kdoe
# usermod -K audit_flags= ldoe

A continuación, el administrador verifica la eliminación.

# userattr audit_flags jdoe
# userattr audit_flags kdoe
# userattr audit_flags ldoe

Ejemplo 28-5 Creación de un perfil de derechos para un grupo de usuarios

El administrador desea que todos los perfiles de derechos administrativos del sitio auditen explícitamente la clase pf. Para cada perfil de derechos que se va a asignar, el administrador crea una versión específica de sitio en LDAP que incluye indicadores de auditoría.

En primer lugar, el administrador clona un perfil de derechos existente y, luego, cambia el nombre y agrega indicadores de auditoría.

# profiles -p "Network Wifi Management" -S ldap
profiles: Network Wifi Management> set name="Wifi Management"
profiles: Wifi Management> set desc="Audited wifi management"
profiles: Wifi Management> set audit_always=pf
profiles: Wifi Management> exit

Después de repetir este procedimiento para cada perfil de derechos que se va a utilizar, el administrador enumera la información en el perfil de gestión de Wi-Fi.

# profiles -p "Wifi Management" -S ldap info
name=Wifi Management
desc=Audited wifi management
auths=solaris.network.wifi.config
help=RtNetWifiMngmnt.html
always_audit=pf

Cómo cambiar la política de auditoría

La política de auditoría determina las características de los registros de auditoría para el sistema local. Puede cambiar la política de auditoría para registrar información detallada sobre comandos auditados, para agregar un nombre de zona a cada registro o para satisfacer otros requisitos de seguridad del sitio.

Antes de empezar

Debe tener asignado el perfil de derechos de configuración de auditoría.

Conviértase en administrador con los atributos de seguridad necesarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Visualice la política de auditoría actual.
```
$ auditconfig -getpolicy
...
```
Para obtener una explicación de la salida, consulte Cómo visualizar los valores predeterminados del servicio de auditoría.

Vea las opciones de política disponibles.

$ auditconfig -lspolicy
policy string    description:
ahlt             halt machine if it can not record an async event
all              all policies for the zone
arge             include exec environment args in audit recs
argv             include exec command line args in audit recs
cnt              when no more space, drop recs and keep a cnt
group            include supplementary groups in audit recs
none             no policies
path             allow multiple paths per event
perzone          use a separate queue and auditd per zone
public           audit public files
seq              include a sequence number in audit recs
trail            include trailer token in audit recs
windata_down     include downgraded window information in audit recs
windata_up       include upgraded window information in audit recs
zonename         include zonename token in audit recs

Nota - Las opciones de política perzone y ahlt solamente se pueden configurar en la zona global. Para que las compensaciones usen una opción de política particular, consulte Comprensión de la política de auditoría.

Habilite o deshabilite las opciones de política de auditoría seleccionadas.
```
# auditconfig [ -t ] -setpolicy [prefix]policy[,policy...]
```
-t

Optativo. Crea una política activa o temporal. Puede definir una política temporal para depurar o para fines de prueba.
Una política temporal permanece vigente hasta que el servicio de auditoría se refresca o hasta que la política es modificada por el comando auditconfig -setpolicy.

prefijo

Un valor de prefijo de + agrega la lista de políticas a la política actual. Un valor de prefijo de - elimina la lista de políticas de la política actual. Sin un prefijo, la política de auditoría se restablece. Esta opción le permite mantener las políticas de auditoría actuales.

política

Selecciona la política que se habilitará o deshabilitará.

Ejemplo 28-6 Configuración de la opción de política de auditoría ahlt

En este ejemplo, la política cnt está deshabilitada y la política ahlt está habilitada. Con esta configuración, el uso del sistema se detiene cuando las colas de auditoría están llenas y se produce un evento asíncrono. Cuando se produce un evento síncrono, se bloquea el proceso que creó el subproceso. Esta configuración es adecuada cuando la seguridad es más importante que la disponibilidad. Para obtener más información, consulte Políticas de auditoría para eventos síncronos y asíncronos.

# auditconfig -setpolicy -cnt
# auditconfig -setpolicy +ahlt

El signo más (+) antes de la política ahlt agrega la política a la configuración de política actual. Sin el signo más, la política ahlt sustituye la configuración de política actual.

Ejemplo 28-7 Definición de una política de auditoría temporal

En este ejemplo, el servicio de auditoría está habilitado, y la política de auditoría ahlt está configurada. El administrador agrega la política de auditoría trail a la política activa (+trail), pero no configura el servicio de auditoría para utilizar la política de auditoría trail permanentemente (-t). La política trail ayuda en la recuperación de pistas de auditoría dañadas.

$ auditconfig -setpolicy ahlt
$ auditconfig -getpolicy
  configured audit policies = ahlt
  active audit policies = ahlt
$ auditconfig -t -setpolicy +trail
  configured audit policies = ahlt
  active audit policies = ahlt,trail

El administrador deshabilita la política trail cuando la depuración finaliza.

$ auditconfig -setpolicy -trail
$ auditconfig -getpolicy
  configured audit policies = ahlt
  active audit policies = ahlt

Refrescar el servicio de auditoría ejecutando el comando audit -s también elimina esta política temporal, además de otros valores temporales en el servicio de auditoría. Para ver ejemplos de otros valores temporales, consulte Cómo cambiar controles de colas de auditoría.

Ejemplo 28-8 Configuración de la política de auditoría perzone

En este ejemplo, la política de auditoría perzone se agrega a la política existente en la zona global. La configuración de la política perzone se almacena como una propiedad permanente, por lo que la política perzone está en vigor durante la sesión y cuando el servicio de auditoría se reinicia.

$ auditconfig -getpolicy
  configured audit policies = cnt
  active audit policies = cnt
$ auditconfig -setpolicy +perzone
$ auditconfig -getpolicy
  configured audit policies = perzone,cnt
  active audit policies = perzone,cnt

Cómo cambiar controles de colas de auditoría

El servicio de auditoría proporciona valores predeterminados para parámetros de cola de auditoría. Puede inspeccionar y cambiar permanente o temporalmente estos valores con el comando auditconfig.

Antes de empezar

Debe tener asignado el perfil de derechos de configuración de auditoría.

Conviértase en administrador con los atributos de seguridad necesarios.
Para obtener más información, consulte Cómo obtener derechos administrativos.
Visualice los valores actuales de los controles de colas de auditoría.
```
$ auditconfig -getqctrl
...
```
Para obtener una explicación de la salida, consulte Cómo visualizar los valores predeterminados del servicio de auditoría.
Modifique controles de colas de auditoría seleccionados.
Para ver ejemplos y una descripción de los controles de colas de auditoría, consulte la página del comando man auditconfig(1M).
- Para modificar algunos o todos los controles de colas de auditoría, utilice la opción -setqctrl.
```
# auditconfig [ -t ] -setqctrl hiwater lowater bufsz interval
```
  Por ejemplo, establezca el valor intervalo en 10 sin establecer los otros controles.
```
# auditconfig -setqctrl 0 0 0 10
```
- Para modificar un control de colas de auditoría específico, especifique su opción. La opción -setqdelay es el equivalente de -setqctrl 0 0 0 intervalo, como en # auditconfig -setqdelay 10.
```
# auditconfig [ -t ] -setqhiwater value
# auditconfig [ -t ] -setqlowater value
# auditconfig [ -t ] -setqbufsz value
# auditconfig [ -t ] -setqdelay value
```

Ejemplo 28-9 Restablecimiento de un control de colas de auditoría al valor predeterminado

El administrador define todos los controles de colas de auditoría y luego regresa el valor lowater en el depósito al valor predeterminado.

# auditconfig -setqctrl 200 5 10216 10
# auditconfig -setqctrl 200 0 10216 10
configured audit queue hiwater mark (records) = 200
no configured audit queue lowater mark
configured audit queue buffer size (bytes) = 10216
configured audit queue delay (ticks) = 10
active audit queue hiwater mark (records) = 200
active audit queue lowater mark (records) = 5
active audit queue buffer size (bytes) = 10216
active audit queue delay (ticks) = 10

A continuación, el administrador establece el valor lowater en el valor predeterminado para la sesión actual.

# auditconfig -setqlowater 10
# auditconfig -getqlowater
configured audit queue lowater mark (records) = 10
active audit queue lowater mark (records) = 10

Cómo configurar el alias de correo electrónico `audit_warn`

La secuencia de comandos /etc/security/audit_warn genera correo que notifica al administrador sobre incidentes de auditoría que podrían requerir atención. Puede personalizar la secuencia de comandos y puede enviar el correo a una cuenta que no sea root.

Si la política perzone está establecida, el administrador de la zona no global debe configurar el alias de correo audit_warn en la zona no global.

Antes de empezar

Debe tener el rol root.

Configure el alias de correo electrónico audit_warn.

Elija una de las siguientes opciones:

OPCIÓN 1: reemplace el alias de correo electrónico audit_warn con otra cuenta de correo electrónico en la secuencia de comandos audit_warn.

Cambie el alias de correo electrónico audit_warn en la línea ADDRESS de la secuencia de comandos a otra dirección:

#ADDRESS=audit_warn            # standard alias for audit alerts
ADDRESS=audadmin            # role alias for audit alerts

Precaución - Al actualizar a una nueva versión del SO Oracle Solaris, debe fusionar manualmente el archivo audit_warn personalizado con el archivo audit_warn.new. Este nuevo archivo puede contener cambios importantes. Para obtener una descripción de la acción de archivo preserve=renamenew en la actualización, consulte la página del comando man pkg(5).

OPCIÓN 2: redirija el correo electrónico audit_warn a otra cuenta de correo.

En este caso, debe agregar el alias de correo electrónico audit_warn al archivo de alias adecuado. Puede agregar el alias al archivo local /etc/mail/aliases o a la base de datos mail_aliases en el nombre de espacio. La entrada /etc/mail/aliases se parecería a lo siguiente si las cuentas de correo electrónico root y audadmin se han agregado como miembros del alias de correo electrónico audit_warn:
```
audit_warn: root,audadmin
```
A continuación, ejecute el comando newaliases para reconstruir la base de datos de acceso aleatorio para el archivo aliases.
```
# newaliases
/etc/mail/aliases: 14 aliases, longest 10 bytes, 156 bytes total
```

Cómo agregar una clase de auditoría

Cuando crea su propia clase de auditoría, puede colocar en ella sólo los eventos de auditoría que desea auditar para su sitio.

Al agregar la clase en un sistema, copie el cambio en todos los sistemas que se están auditando. Lo mejor es crear clases de auditoría antes de habilitar el servicio de auditoría.

Precaución - Al actualizar a una nueva versión del SO Oracle Solaris, debe fusionar manualmente el archivo audit_class personalizado con el archivo audit_class.new. Este nuevo archivo puede contener cambios importantes. Para obtener una descripción de la acción de archivo preserve=renamenew en la actualización, consulte la página del comando man pkg(5).

Antes de empezar

La entrada debe ser única. Debe elegir bits libres. Los bits disponibles para uso de clientes se describen en el archivo /etc/security/audit_class.

Debe tener el rol root.

(Opcional) Guarde una copia de seguridad del archivo audit_class.
```
# cp /etc/security/audit_class /etc/security/audit_class.orig
```
Agregue las nuevas entradas al archivo audit_class.
Cada entrada tiene el siguiente formato:
```
0x64bitnumber:flag:description
```
Para obtener una descripción de los campos, consulte la página del comando man audit_class(4). Para obtener una lista de clases existentes, lea el archivo /etc/security/audit_class.

Ejemplo 28-10 Creación de una clase de auditoría nueva

En este ejemplo, se crea una clase para mantener los comandos administrativos que se ejecutan en un rol. La entrada agregada al archivo audit_class se muestra a continuación:

0x0100000000000000:pf:profile command

La entrada crea la clase de auditoría nueva pf. En el Ejemplo 28-11, se rellena la clase de auditoría nueva.

Errores más frecuentes

Si personalizó el archivo audit_class, asegúrese de que todas las excepciones de usuario para la máscara de preselección de auditoría del sistema sean coherentes con las clases de auditoría nuevas. Se producen errores cuando un valor audit_flags no es un subconjunto del archivo audit_class.

Cómo cambiar una pertenencia a clase de un evento de auditoría

Puede que desee cambiar la pertenencia a clase de un evento de auditoría para reducir el tamaño de una clase de auditoría existente o para colocar el evento en una clase propia.

Precaución - Nunca quite el comentario de eventos en el archivo audit_event. Este archivo es utilizado por el comando praudit para leer archivos binarios de auditoría. Los archivos de auditoría almacenados pueden contener eventos que se muestran en el archivo.

Cuando reconfigura asignaciones de evento-clase de auditoría en un sistema, copie el cambio en todos los sistemas que se auditan. Lo mejor es cambiar asignaciones de evento-clase antes de que los usuarios inicien sesión.

Precaución - Al actualizar a una nueva versión del SO Oracle Solaris, debe fusionar manualmente el archivo audit_event personalizado con el archivo audit_event.new. Este nuevo archivo puede contener cambios importantes. Para obtener una descripción de la acción de archivo preserve=renamenew en la actualización, consulte la página del comando man pkg(5).

Antes de empezar

Debe tener el rol root.

(Opcional) Guarde una copia de seguridad del archivo audit_event.
```
# cp /etc/security/audit_event /etc/security/audit_event.orig
```
Cambie la clase a la que pertenecen los eventos determinados; para esto, cambie la lista_clase de los eventos.
Cada entrada tiene el siguiente formato:
```
number:name:description:class-list
```
número

ID de evento de auditoría.

nombre

Nombre del evento de auditoría.

descripción

Normalmente, la llamada de sistema o el ejecutable que desencadena la creación de un registro de auditoría.

lista_clase

Lista separada por comas de las clases de auditoría.

Ejemplo 28-11 Asignación de eventos de auditoría existentes a una nueva clase

En este ejemplo, se asigna un evento de auditoría existente a la nueva clase creada en el Ejemplo 28-10. De manera predeterminada, el evento de auditoría AUE_PFEXEC se asigna a cuatro clases: ps, ex, ua y as. Mediante la creación de la nueva clase, el administrador puede auditar eventos AUE_PFEXEC sin auditar los eventos en cualquiera de las otras cuatro clases.

# grep pf /etc/security/audit_class
0x0100000000000000:pf:profile command
# vi /etc/security/audit_event
116:AUE_PFEXEC:execve(2) with pfexec enabled:pf
# auditconfig -setflags lo,pf
user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español)