監査クラスの追加方法

独自の監査クラスを作成すると、サイトで監視する監査イベントだけをそのクラスに入れることができます。1 つのシステムにそのクラスを追加するときは、監査されているすべてのシステムに変更をコピーする必要があります。

1. Primary Administrator 役割を引き受けるか、スーパーユーザーになります。

   Primary Administrator 役割には、Primary Administrator プロファイルが含まれます。役割を作成してユーザーに役割を割り当てるには、『Solaris のシステム管理 (基本編)』の第 2 章「Solaris 管理コンソールの操作 (手順)」を参照してください。

2. (省略可能) audit_class ファイルのバックアップコピーを保存します。

   # cp /etc/security/audit_class /etc/security/audit_class.orig

3. audit_class ファイルに新しいエントリを追加します。

   各エントリの書式は次のとおりです。

   0xnumber:name:description

   0x

   number が 16 進であることを示します。

   number

   一意の監査クラスマスクを定義します。

   name

   監査クラスの文字の名前を定義します。

   description

   監査クラスの記述名を定義します。

   エントリはファイル内で一意である必要があります。既存の監査クラスのマスクを使用しないでください。

例 30–10 新しい監査クラスを作成する

この例では、監査イベントの小さなセットを保持するクラスを作成します。audit_class ファイルに追加されるエントリは次のとおりです。

0x10000000:pf:profile command

このエントリによって、pf という名前の新しい監査クラスが作成されます。例 30–11 で、この新しい監査クラスにデータを割り当てます。

注意事項

audit_class ファイルをカスタマイズした場合、audit_user に対する変更が新しい監査クラスと一致するようにします。audit_user 内の監査クラスが audit_class データベースのサブセットになっていないと、エラーが発生します。