各監査イベントは、1 つまたは複数の「監査クラス」に属しています。監査クラスは、多数の監査イベントが入った便利な入れ物です。監査対象としてクラスを「事前選択」すると、そのクラスのすべてのイベントが監査トレールに記録されるように指定されます。システム上のイベントまたは特定のユーザーによって開始されるイベントに対して事前選択できます。監査サービスの実行開始後、事前選択されたクラスに監査クラスを動的に追加したり削除したりできます。
システム全体の事前選択 – audit_control ファイルの flags、naflags、および plugin 行にシステム全体の監査デフォルトを指定します。audit_control ファイルについては、「audit_control ファイル」を参照してください。また、audit_control(4) のマニュアルページも参照してください。
ユーザー固有の事前選択 – audit_user データベースにある個々のユーザーに対するシステム全体の監査デフォルトに追加を指定します。
監査事前選択マスクにより、ユーザーに対して監査されるイベントのクラスを決定します。ユーザーの監査事前選択マスクとは、システム全体のデフォルトとユーザーに対して指定された監査クラスの組み合わせです。詳細については、「プロセスの監査特性」を参照してください。
audit_user データベースは、ローカルまたはネームサービスで管理できます。Solaris 管理コンソールは、データベースを管理するグラフィカルユーザーインタフェース (GUI) を備えています。詳細は、audit_user(4) のマニュアルページを参照してください。
動的な事前選択 – プロセスまたはセッションに追加したり削除したりする監査クラスを auditconfig コマンドの引数として指定します。詳細は、auditconfig(1M) のマニュアルページを参照してください。
事後選択コマンド auditreduce を使用すると、事前選択された監査レコードからレコードを選択できます。詳細は、「監査トレールの検証」および auditreduce(1M) のマニュアルページを参照してください。
監査クラスは、/etc/security/audit_class ファイルに定義されます。各エントリには、クラスの監査マスク、クラスの名前、およびクラスの記述名が含まれます。たとえば、ps および na クラス定義は、次のように audit_class に表示されます。
0x00100000:ps:process start/stop 0x00000400:na:non-attribute |
監査クラスは、32 クラスまで設定できます。クラスには、all および no という 2 つのグローバルクラスが 含まれます。監査クラスについては、audit_class(4) のマニュアルページを参照してください。
監査イベントのクラスへの割り当ては構成可能です。クラスからイベントを削除したり、クラスにイベントを追加したり、新しいクラスを作成して選択したイベントを含めることができます。手順については、「監査イベントの所属先クラスの変更方法」を参照してください。