監査フラグを動的に変更する方法

auditconfig(1M) コマンドを使うと、動的に監査フラグを変更することができ、アクティブなユーザーやセッションやプロセスに、別のフラグを追加することができます。フラグは動的に追加されるので、ユーザーのログアウト、セッションの終了、プロセスの終了まで有効です。

特定ユーザーのファイル読み取り成功の監査を追加する場合は、ラベル admin_low でセキュリティ管理者になって、次のようにします。

$ auditconfig -setumask audit_user_id +fr

特定セッションのファイル属性アクセス失敗の監査を追加する場合は、ラベル admin_low でセキュリティ管理者になって、次のようにします。

$ auditconfig -setsmask audit_session_id -fa

特定プロセスのファイル属性変更の成功と失敗を追加で監査する場合は、ラベル admin_low でセキュリティ管理者になって、次のようにします。

$ ps -ef | grep application-to-be-monitored
$ auditconfig -setpmask process_id fm