通过指定一个或多个事件类,可以预选 Solaris 审计的系统范围的缺省值。将在系统的 audit_control 文件中针对每个系统预选这些类。将针对这些事件类对使用系统的用户进行审计。此文件在audit_control 文件中介绍。
您可以配置审计类并创建新的审计类。审计类名称的长度最多为 8 个字符。类说明最多可包含 72 个字符。允许使用数字和非字母数字字符。
可以通过将审计类添加到 audit_user 数据库中某个用户的项,来修改针对该用户的审计内容。审计类还可用作 auditconfig 命令的参数。有关详细信息,请参见 auditconfig(1M) 手册页。
下表显示了每个预定义的审计类、每个审计类的说明性名称,以及简短说明。
表 30–1 预定义的审计类
审计类 |
说明性名称 |
说明 |
---|---|---|
all |
所有类(元类) |
|
no | ||
na |
不可归属事件 |
|
fr |
读取数据,打开进行读取 |
|
fw |
写入数据,打开进行写入 |
|
fa |
访问对象属性:stat、pathconf |
|
fm |
更改对象属性:chown、flock |
|
fc |
创建对象 |
|
fd |
删除对象 |
|
cl | ||
ap |
应用程序定义的事件 |
|
ad |
管理操作(旧的管理元类) |
|
am |
管理操作(元类) |
|
ss |
更改系统状态 |
|
as |
系统范围的管理 |
|
ua |
用户管理 |
|
aa |
利用审计 |
|
ps |
启动和停止进程 |
|
pm |
修改进程 |
|
pc |
进程(元类) |
|
ex |
执行程序 |
|
io | ||
ip | ||
lo |
登录和注销事件 |
|
nt |
网络事件:bind、connect、 accept |
|
ot |
杂项,例如设备分配和 memcntl() |
可以通过修改 /etc/security/audit_class 文件来定义新类,还可以重命名现有类。有关更多信息,请参见 audit_class(4) 手册页。
可以只针对成功情况对事件进行审计,也可以只针对失败情况对事件进行审计,还可以同时针对两种情况对事件进行审计。如果不带前缀,则同时针对成功和失败情况对事件类进行审计。如果带有加号 (+) 前缀,则对事件类进行审计以仅查看是否成功。如果带有减号 (-) 前缀,则对事件类进行审计以仅查看是否失败。下表显示了某些可能的审计类表示。
表 30–2 审计类的加号和减号前缀
[prefix]class |
说明 |
---|---|
lo |
审计所有成功的登录和注销尝试,以及所有失败的登录尝试。用户不会遇到失败的注销尝试。 |
+lo |
审计所有成功的登录和注销尝试。 |
-all |
审计所有失败的事件。 |
+all |
审计所有成功的事件。 |
all 类会生成大量数据并快速填满审计文件系统。仅当具有特殊的理由审计所有活动时,才使用 all 类。
先前选择的审计类可以通过插入记号前缀 ^ 进一步修改。下表显示了插入记号前缀如何修改预选的审计类。
表 30–3 用于修改已指定的审计类的插入记号前缀
^[prefix]class |
说明 |
---|---|
-all,^-fc |
审计所有失败的事件,但不审计失败的文件对象创建尝试 |
am,^+aa | |
am,^ua |
审计所有管理事件以查看成功和失败的情况,但不审计用户管理事件 |
可以在以下文件和命令中使用审计类及其前缀:
在 audit_control 文件的 flags 行中
在 audit_control 文件的 plugin ...p_flags= 行中
在 audit_user 数据库的用户项中
作为 auditconfig 参数选项的参数
有关在 audit_control 文件中使用前缀的示例,请参见audit_control 文件。