イベントとクラスの対応関係の計画 - サイト独自の設定

省略可能：この節は、クラスに割り当てるイベントの構成を変更したり、新しいクラスや新しいイベントを作成する場合にお読みください。デフォルトのイベントとクラスの対応関係を使用する場合には、省略してかまいません。

Trusted Solaris の監査クラスは、クラス all を含めて最大 32 個まで設定できます。定義済みのクラスと合わせて 32 個になるまで、サイトで新規クラスを追加できます。

セキュリティ管理者は、クラスとイベントの対応関係を設定します。この対応関係はそのサイトに固有のものです。次の手順に従ってください。

1. 必要なクラスを決定します。

2. どのイベントがどのクラスに所属するかを決定します。

   1. 別のクラスにコピーするイベントを決定します。

      監査イベントは複数のクラスに割り当てることができます。たとえば、監査イベント AUE_RENAME は、デフォルトで、file create と file delete の 2 つのクラスに含まれます。

   2. 別のクラスに移動するイベントを決定します。

   3. 別のクラスに追加するイベントを決定します。

3. クラスごとにイベントの成功、失敗、成功と失敗の両方のうち、どの場合を監査するかを決定します。

   新しいソフトウェアをインストールした場合など、プログラムに Trusted Solaris 7 ソフトウェアが提供するもの以外の監査イベントが含まれている場合には、そのイベントを既存のクラスに追加するか、新しいイベント用のクラスを新規に作成します。

イベントとクラスの対応関係を変更するときの検討事項

Trusted Solaris 環境で監査クラスの内容のデフォルトを変更して新しいクラスを作成するときは、次の要素を検討します。

• このマニュアルで説明しているのは、デフォルトの監査構成についてです。

  サイトで監査デフォルトに加えた変更点を文書化して、監査管理を担当する管理者が使用できるようにする

• システムがネットワークに接続されている場合には、1 台のワークステーションのファイルを変更したら、すべてのワークステーションの監査構成ファイルを変更する

  Trusted Solaris ワークステーションのネットワークは 1 台のワークステーションのように操作でき、ネットワーク上のどのワークステーションでも、監査するクラス、監査のデフォルト、例外とするユーザー、イベントとクラスの対応関係が同じになります。