監査イベントの追加方法
監査イベントの定義は、/etc/security/audit_event ファイルに格納されます。
-
スーパーユーザーになるか、同等の役割を引き受けます。
-
(省略可能) audit_event ファイルのバックアップコピーを保存します。
# cp /etc/security/audit_event /etc/security/audit_event.save
-
audit_event ファイルに新しいエントリを追加します。
各エントリの書式は次のとおりです。
number:name:description:classes
- number
-
一意の監査イベント番号を定義する。32767 以降の番号を指定する
- name
-
一意の監査イベント名を定義する
- description
-
監査イベントの説明を記述する。監査イベントのマニュアルページ名が含まれることが多い
- classes
-
このイベントを含む監査クラスを選択する
-
監査デーモンで新しいデータが使用できるようにします。
新しいデータを使用するには、システムをリブートするか、次のコマンドを入力します。
# auditconfig -conf
例 — 新しい監査イベントを追加する
この例のエントリは、ローカルアプリケーションの新しい監査イベントを定義しています。
# grep localapp /etc/security/audit_event 32768:AUE_localapp:localapp(1):ta |
- © 2010, Oracle Corporation and/or its affiliates