監査イベントの定義は、/etc/security/audit_event ファイルに格納されます。レコードの生成は、イベント定義が作成され、ユーザーレベルの動作によってイベントが生成されたときにだけ行われます。
スーパーユーザーになるか、同等の役割を引き受けます。
(省略可能) audit_event ファイルのバックアップコピーを保存します。
# cp /etc/security/audit_event /etc/security/audit_event.save |
audit_event ファイルに新しいエントリを追加します。
各エントリの書式は次のとおりです。
number:name:description:classes
number |
一意の監査イベント番号を定義する。32768 以降の番号を指定する |
name |
一意の監査イベント名を定義する |
description |
監査イベントの説明を記述する。監査イベントのマニュアルページ名が含まれることが多い |
classes |
このイベントを含む監査クラスを選択する |
BSM サービスで新しいデータを有効にします。
新しいデータを使用するには、システムをリブートするか、次のコマンドを入力します。
# auditconfig -conf |
この例のエントリでは、ローカルアプリケーションの新しい監査イベントを定義します。
# grep localapp /etc/security/audit_event 32769:aue_localapp:localapp(1):ap |