監査イベントの変更方法
監査イベントの定義は、/etc/security/audit_event ファイルに格納されます。レコードの生成は、イベント定義が作成され、ユーザーレベルの動作によってイベントが生成されたときにだけ行われます。
-
スーパーユーザーになるか、同等の役割を引き受けます。
-
(省略可能) audit_event ファイルのバックアップコピーを保存します。
# cp /etc/security/audit_event /etc/security/audit_event.save
-
audit_event ファイルに新しいエントリを追加します。
各エントリの書式は次のとおりです。
number:name:description:classes
number
一意の監査イベント番号を定義する。32768 以降の番号を指定する
name
一意の監査イベント名を定義する
description
監査イベントの説明を記述する。監査イベントのマニュアルページ名が含まれることが多い
classes
このイベントを含む監査クラスを選択する
-
BSM サービスで新しいデータを有効にします。
新しいデータを使用するには、システムをリブートするか、次のコマンドを入力します。
# auditconfig -conf
例 — 新しい監査イベントを追加する
この例のエントリでは、ローカルアプリケーションの新しい監査イベントを定義します。
# grep localapp /etc/security/audit_event 32769:aue_localapp:localapp(1):ap |
- © 2010, Oracle Corporation and/or its affiliates