当创建自己的审计类时,可以只将需要针对您所在站点审计的审计事件存放其中。在一个系统上添加该类时,应将此更改复制到正在审计的所有系统中。
承担主管理员角色,或成为超级用户。
主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 “使用 Solaris Management Console(任务)”。
(可选的)保存 audit_class 文件的副本。
# cp /etc/security/audit_class /etc/security/audit_class.orig |
在 audit_class 文件中添加新项。
每一项都具有以下格式:
0xnumber:name:description |
将 number 标识为十六进制。
定义唯一审计类掩码。
定义审计类的字母名称。
定义审计类的说明性名称。
添加的项在该文件中必须唯一。请勿使用现有审计类掩码。
本示例会创建类来保存一个小型的审计事件组。audit_class 文件的添加项如下所示:
0x01000000:pf:profile command |
此项创建名为 pf 的新审计类。示例 29–10 填充此新审计类。