如何添加审计类

当创建自己的审计类时，可以只将需要针对您所在站点审计的审计事件存放其中。在一个系统上添加该类时，应将此更改复制到正在审计的所有系统中。

1. 承担主管理员角色，或成为超级用户。

   主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

2. （可选的）保存 audit_class 文件的副本。

   # cp /etc/security/audit_class /etc/security/audit_class.orig

3. 在 audit_class 文件中添加新项。

   每一项都具有以下格式：

   0xnumber:name:description

   0x

   将 number 标识为十六进制。

   number

   定义唯一审计类掩码。

   name

   定义审计类的字母名称。

   description

   定义审计类的说明性名称。

   添加的项在该文件中必须唯一。请勿使用现有审计类掩码。

示例 29–9 创建新审计类

本示例会创建类来保存一个小型的审计事件组。audit_class 文件的添加项如下所示：

0x01000000:pf:profile command

此项创建名为 pf 的新审计类。示例 29–10 填充此新审计类。