Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Guía de administración del sistema: servicios de seguridad |
Parte I Descripción general de la seguridad
1. Servicios de seguridad (descripción general)
Parte II Seguridad de sistemas, archivos y dispositivos
2. Gestión de seguridad de equipos (descripción general)
3. Control de acceso a sistemas (tareas)
4. Control de acceso a dispositivos (tareas)
5. Uso de la herramienta básica de creación de informes de auditoría (tareas)
6. Control de acceso a archivos (tareas)
7. Uso de la herramienta automatizada de mejora de la seguridad (tareas)
Parte III Roles, perfiles de derechos y privilegios
8. Uso de roles y privilegios (descripción general)
9. Uso del control de acceso basado en roles (tareas)
10. Control de acceso basado en roles (referencia)
Parte IV Servicios criptográficos
13. Estructura criptográfica de Oracle Solaris (descripción general)
14. Estructura criptográfica de Oracle Solaris (tareas)
15. Estructura de gestión de claves de Oracle Solaris
Parte V Servicios de autenticación y comunicación segura
16. Uso de servicios de autenticación (tareas)
19. Uso de Oracle Solaris Secure Shell (tareas)
20. Oracle Solaris Secure Shell (referencia)
21. Introducción al servicio Kerberos
22. Planificación del servicio Kerberos
23. Configuración del servicio Kerberos (tareas)
24. Mensajes de error y resolución de problemas de Kerberos
25. Administración de las políticas y los principales de Kerberos (tareas)
26. Uso de aplicaciones Kerberos (tareas)
27. El servicio Kerberos (referencia)
Parte VII Auditoría de Oracle Solaris
28. Auditoría de Oracle Solaris (descripción general)
29. Planificación de la auditoría de Oracle Solaris
30. Gestión de la auditoría de Oracle Solaris (tareas)
31. Auditoría de Oracle Solaris (referencia)
Archivos utilizados en el servicio de auditoría
Secuencia de comandos audit_startup
Secuencia de comandos audit_warn
Perfiles de derechos para administración de auditoría
Auditoría y zonas de Oracle Solaris
Definiciones de clases de auditoría
Sintaxis de la clase de auditoría
Características de auditoría de proceso
Convenciones de nombres de archivos de auditoría binarios
Nombres de archivos de auditoría binarios
Indicadores de hora de archivos de auditoría binarios
Estructura de registro de auditoría
Cada token de auditoría tienen un identificador de tipo de token, que está seguido por los datos específicos para el token. Cada tipo de token tiene su propio formato. La siguiente tabla muestra los nombres de token con una breve descripción de cada uno. Los tokens obsoletos se mantienen por motivos de compatibilidad con las versiones anteriores de Solaris.
Tabla 31-4 Tokens de auditoría para la auditoría de Oracle Solaris
|
Un registro de auditoría comienza siempre con un token header. El token header indica dónde comienza el registro de auditoría en la pista de auditoría. En el caso de eventos atribuibles, los tokens subject y process hacen referencia a los valores del proceso que causaron el evento. En el caso de eventos no atribuibles, el token process hace referencia al sistema.
El token acl registra información acerca de las listas de control de acceso (ACL).
El token acl está formado por cuatro campos fijos:
Un ID de token que identifica este token como un token acl
Un campo que especifica el tipo de ACL
Un campo de valor de ACL
Un campo en el que se muestran los permisos asociados a esta ACL
El comando praudit -x muestra los campos del token acl:
<acl type="1" value="root" mode="6"/>
El token arbitrary encapsula datos para la pista de auditoría. Este token está formado por cuatro campos fijos y una matriz de datos. Los campos fijos son los siguientes:
Un ID de token que identifica este token como un token arbitrary
Un campo de formato de impresión sugerido, por ejemplo, hexadecimal
Un campo de tamaño de elemento que especifica el tamaño de los datos encapsulados, por ejemplo, pequeño
Un campo de recuento que proporciona el número de elementos siguientes
El resto del token está compuesto por el recuento del tipo especificado. El comando praudit muestra el token arbitrary de la siguiente manera:
arbitrary,decimal,int,1 42
La siguiente tabla muestra los valores posibles del campo de formato de impresión.
Tabla 31-5 Valores para el campo de formato de impresión de token arbitrary
|
La siguiente tabla muestra los posibles valores del campo de tamaño de elemento.
Tabla 31-6 Valores para el campo de tamaño de elemento de token arbitrary
|
El token arg contiene información sobre los argumentos de una llamada de sistema: el número de argumento de la llamada del sistema, el valor del argumento y una descripción opcional. Este token permite un argumento de llamada de sistema de número entero de 32 bits en un registro de auditoría.
El token arg tiene cinco campos:
Un ID de token que identifica este token como un token arg
Un ID de argumento que indica a qué argumento de llamada de sistema hace referencia el token
El valor del argumento
La longitud de la cadena de texto descriptivo
La cadena de texto
El comando praudit -x muestra los campos del token arg:
<argument arg-num="2" value="0x0" desc="new file uid"/>
El token attribute contiene información del vnode del archivo.
El token attribute tiene varios campos:
Un ID de token que identifica este token como un token attribute
El modo de acceso de archivo y el tipo
El ID de usuario del responsable
El ID de grupo del responsable
El ID del sistema de archivos
El ID del nodo
El ID del dispositivo que el archivo puede representar
Para obtener más información acerca del ID de sistema de archivos y del ID de dispositivo, consulte la página del comando man statvfs(2).
El token attribute por lo general acompaña un token path. El token attribute se produce durante búsquedas de ruta. Si ocurre un error de búsqueda de ruta, no hay un vnode disponible para obtener la información de archivo necesaria. Por lo tanto, el token attributeno se encuentra incluido como parte del registro de auditoría. El comando praudit -x muestra los campos del token attribute:
<attribute mode="100644" uid="adm" gid="adm" fsid="136" nodeid="2040" device="0"/>
El token cmd registra la lista de argumentos y la lista de variables del entorno asociadas con un comando.
El token cmd contiene los siguientes campos:
Un ID de token que identifica este token como un token cms
Un recuento de los argumentos del comando
La lista de argumentos
La longitud del siguiente campo
El contenido de los argumentos
Un recuento de las variables de entorno
La lista de variables de entorno
La longitud del siguiente campo
El contenido de las variables de entorno
El comando praudit -x muestra los campos del token cmd. El siguiente es un token cmd truncado. La línea se ajusta con fines de visualización.
<cmd><arge>WINDOWID=6823679</arge> <arge>COLORTERM=gnome-terminal</arge> <arge>...LANG=C</arge>...<arge>HOST=machine1</arge> <arge>LPDEST=printer1</arge>...</cmd>
El token exec_args registra los argumentos en una llamada de sistema exec(). El token exec_args tiene dos campos fijos:
Un campo de ID de token que identifica al token como un token exec_args
Un recuento que representa el número de argumentos que se transfieren a la llamada de sistema exec()
El resto de este token se compone de cadenas de recuento. El comando praudit -x muestra los campos del token exec_args:
<exec_args><arg>/usr/bin/sh</arg><arg>/usr/bin/hostname</arg></exec_args>
Nota - El token exec_args sólo se muestra cuando está activada la opción de política de auditoría argv.
El token exec_env registra las variables de entorno actuales en una llamada de sistema exec(). El token exec_env tiene dos campos fijos:
Un campo de ID de token que identifica al token como un token exec_env
Un recuento que representa el número de argumentos que se transfieren a la llamada de sistema exec()
El resto de este token se compone de cadenas de recuento. El comando praudit -x muestra los campos del token exec_env. La línea se ajusta con fines de visualización.
<exec_env><env>_=/usr/bin/hostname</env> <env>DTXSERVERLOCATION=local</env><env>SESSIONTYPE=altDt</env> <env>LANG=C</env><env>SDT_NO_TOOLTALK=1</env><env>SDT_ALT_HELLO=/bin/true</env> <env>PATH=/usr/bin:/usr/openwin/bin:/usr/ucb</env> <env>OPENWINHOME=/usr/openwin</env><env>LOGNAME=jdoe</env><env>USER=jdoe</env> <env>DISPLAY=:0</env><env>SHELL=/bin/csh</env><env>START_SPECKEYSD=no</env> <env>SDT_ALT_SESSION=/usr/dt/config/Xsession2.jds</env><env>HOME=/home/jdoe</env> <env>SDT_NO_DTDBCACHE=1</env><env>PWD=/home/jdoe</env><env>TZ=US/Pacific</env> </exec_env>
Nota - El token exec_env sólo se muestra cuando está activada la opción de política de auditoría arge.
El token exit registra el estado de salida de un programa. El token exit contiene los siguientes campos:
Un ID de token que identifica este token como un token exit
El estado de salida de un programa como se transfirió a la llamada de sistema exit()
Un valor de retorno que describe el estado de salida o que proporciona un error de número de sistema
El comando praudit muestra el token exit de la siguiente manera:
exit,Error 0,0
El token file es un token especial generado por el daemon auditd. El token marca el inicio de un nuevo archivo de auditoría y el fin de un antiguo archivo de auditoría cuando se desactiva el archivo antiguo. El token file inicial identifica el archivo anterior en la pista de auditoría. El token file final identifica el archivo siguiente en la pista de auditoría. El daemon auditd genera un registro de auditoría especial que contiene este token a fin de “enlazar” sucesivos archivos de auditoría con una pista de auditoría.
El comando praudit -x muestra los campos del token file. Este token identifica el siguiente archivo en la pista de auditoría. La línea se ajusta con fines de visualización.
<file iso8601="2009-04-08 14:18:26.200 -07:00"> /var/audit/machine1/files/20090408211826.not_terminated.machine1</file>
Este token se ha sustituido por el token groups. Consulte Token groups.
El token groups sustituye el token group. El token groups registra las entradas del grupo de la credencial del proceso.
El token groups tiene dos campos fijos:
Un campo de ID de token que identifica al token como groups
Un recuento que representa el número de grupos que figuran en este registro de auditoría
El resto de este token se compone de entradas de grupo de recuento.
El comando praudit -x muestra los campos del token groups:
<group><gid>staff</gid><gid>other</gid></group>
El token header es especial en cuanto marca el inicio de un registro de auditoría. El token header se combina con el token trailer para encerrar todos los tokens en el registro.
El token header tiene ocho campos:
Un campo de ID de token que identifica al token como header
Un recuento de bytes de la longitud total del registro de auditoría, incluidos los tokens header y trailer
Un número de versión que identifica la versión de la estructura de registro de auditoría
El ID de evento de auditoría que identifica el evento de auditoría que representa el registro
El modificador de ID que identifica características especiales del evento de auditoría
El campo de modificador de ID tiene los siguientes indicadores definidos:
0x4000 PAD_NOTATTR nonattributable event 0x8000 PAD_FAILURE failed audit event
El tipo de dirección, IPv4 o IPv6
La dirección del equipo
La fecha y la hora en las que se creó el registro
En sistemas de 64 bits, el token header se muestra con una indicación de hora de 64 bits, en lugar de la indicación de hora de 32 bits.
El comando praudit muestra el token header de la siguiente manera:
header,69,2,su,,machine1,2009-04-08 13:11:58.209 -07:00
El comando praudit -x muestra los campos del token header al comienzo del registro de auditoría. La línea se ajusta con fines de visualización.
<record version="2" event="su" host="machine1" iso8601="2009-04-08 13:11:58.209 -07:00">
El token contiene una dirección de protocolo de Internet ip_addr. Desde la versión Solaris 8 la dirección de Internet se puede visualizar en formato de IPv4 o formato de IPv6. La dirección IPv4 utiliza 4 bytes. La dirección IPv6 utiliza 1 byte para describir el tipo de dirección y 16 bytes para describir la dirección.
El token in_addr tiene tres campos:
Un ID de token que identifica este token como un token in_addr
El tipo de dirección IP, IPv4 o IPv6
Una dirección IP
El comando praudit -x muestra el contenido del token ip_addr:
<ip_address>machine1</ip_address>
El token ip contiene una copia de un encabezado de protocolo de Internet. El token ip tiene dos campos:
Un ID de token que identifica este token como un token ip
Una copia del encabezado de IP, es decir, todos los 20 bytes
El comando praudit muestra el token ip de la siguiente manera:
ip address,0.0.0.0
La estructura del encabezado de IP está definida en el archivo /usr/include/netinet/ip.h.
El token ipc contiene el identificador de mensaje de System V IPCe, los indicadores de semáforo o el identificador de memoria compartida usado por el emisor de llamada para identificar un objeto IPC determinado.
El token ipc tiene tres campos:
Un ID de token que identifica este token como un token ipc
Un campo de tipo que especifica el tipo de objeto IPC
El identificador que identifica el objeto IPC
Nota - Los identificadores del objeto IPC viola la naturaleza sin contexto de los tokens de auditoría de Oracle Solaris. Ningún “nombre” global identifica de forma exclusiva objetos IPC. En su lugar, los objetos IPC se identifican por sus identificadores. Los identificadores sólo son válidos durante el tiempo que los objetos IPC están activos. Sin embargo, la identificación de los objetos IPC no debería suponer ningún problema. Los mecanismos de System V IPC rara vez se utilizan, y todos los mecanismos comparten la misma clase de auditoría.
La siguiente tabla muestra los posibles valores del campo de tipo de objeto IPC. Los valores se definen en el archivo /usr/include/bsm/audit.h.
Tabla 31-7 Valores para el campo de tipo de objeto IPC
|
El comando praudit -x muestra los campos del token ipc:
<IPC ipc-type="shm" ipc-id="15"/>
El token ipc_perm contiene una copia de los permisos de acceso de System V IPC. Este token se agrega a los registros de auditoría generados por los eventos de memoria compartida IPC, los eventos de semáforo IPC y los eventos de mensajes IPC.
El token ipc_perm tiene ocho campos:
Un ID de token que identifica este token como un token ipc_perm
El ID de usuario del responsable de IPC
El ID de grupo del responsable de IPC
El ID de usuario del creador de IPC
El ID de grupo del creador de IPC
El modo de acceso del IPC
El número de secuencia del IPC
El valor clave de IPC
El comando praudit -x muestra los campos del token ipc_perm. La línea se ajusta con fines de visualización.
<IPC_perm uid="jdoe" gid="staff" creator-uid="jdoe" creator-gid="staff" mode="100600" seq="0" key="0x0"/>
Los valores se toman de la estructura de ipc_perm asociada con el objeto IPC.
El token iport contiene las direcciones de los puertos TCP o UDP.
El token iport tiene dos campos:
Un ID de token que identifica este token como un token iport
La dirección de los puertos TCP o UDP
El comando praudit muestra el token iport de la siguiente manera:
ip port,0xf6d6
El token opaque contiene datos sin formato como una secuencia de bytes. El token opaque tiene tres campos:
Un ID de token que identifica este token como un token opaque
Un recuento de bytes de los datos
Una matriz de datos de byte
El comando praudit muestra el token opaque de la siguiente manera:
opaque,12,0x4f5041515545204441544100
El token de auditoría path contiene información sobre la ruta de acceso para un objeto.
El token path contiene los siguientes campos:
Un ID de token que identifica este token como un token path
La longitud de ruta
La ruta de acceso absoluta al objeto que se basa en la raíz real del sistema
El comando praudit muestra el token path sin el segundo campo, de la siguiente manera:
path,/etc/security/audit_user
El comando praudit -x muestra el contenido del token path:
<path>/etc/security/prof_attr</path>
La siguiente figura muestra el formato de un token path.
Figura 31-4 Formato de token path
El token de auditoría path_attr contiene información sobre la ruta de acceso para un objeto. La ruta de acceso especifica la secuencia de los objetos de archivo de atributos en el objeto de token path. Las llamadas de sistema, como openat(), permiten acceder a los archivos de atributos. Para obtener más información acerca de los objetos de archivo de atributos, consulte la página del comando man fsattr(5).
El token path_attr contiene los siguientes campos:
Un ID de token que identifica este token como un token path_attr
Un recuento que representa el número de secciones de las rutas de los archivos de atributos
Cadenas con terminación nula count
El comando praudit muestra el token path_attr de la siguiente manera:
path_attr,1,attr_file_name
El token privilege registra el uso de privilegios en un proceso. El token privilege no registra privilegios en la configuración básica. Si un privilegio se ha eliminado del conjunto básico por una acción administrativa, entonces la utilización de ese privilegio se registra. Para obtener más información sobre los privilegios, consulte Privilegios (descripción general).
El token privilege contiene los siguientes campos:
Un ID de token que identifica este token como un token privilege
La longitud del siguiente campo
El nombre del conjunto de privilegios
La longitud del siguiente campo
La lista de privilegios
El comando praudit -x muestra los campos del token privilege. La línea se ajusta con fines de visualización.
<privilege set-type="Effective">file_chown,file_dac_read, file_dac_write,net_privaddr,proc_exec,proc_fork,proc_setid</privilege>
El token process contiene información acerca del usuario asociado con un proceso, como el destinatario de una señal.
El token process tiene nueve campos:
Un ID de token que identifica este token como un token process
El ID de auditoría
El ID de usuario efectivo
El ID de grupo efectivo
El ID de usuario real
El ID de grupo real
El ID de proceso
El ID de sesión de auditoría
Un ID de terminal que está formado por un ID de dispositivo y una dirección del equipo
Los ID de auditoría, ID de usuario, ID de grupo, ID de proceso e ID de sesión son largos en lugar de ser cortos.
Nota - Los campos del token process para el ID de sesión, el ID de usuario real o el ID de grupo real pueden no estar disponibles. Entonces, el valor se establece en -1.
Cualquier token que contiene ID de terminal posee distintas variaciones. El comando praudit oculta estas variaciones. Por lo tanto, el ID de terminal se maneja de la misma manera para cualquier token que contiene un ID de terminal. El ID de terminal puede ser una dirección IP y un número de puerto, o un ID de dispositivo. Un ID de dispositivo, como el puerto de serie que está conectado a un módem, puede ser cero. El ID de terminal se especifica en uno de los diversos formatos existentes.
El ID de terminal para los números de dispositivo se especifica de la siguiente manera:
Aplicaciones de 32 bits: un número de dispositivo de 4 bytes, 4 bytes sin usar
Aplicaciones de 64 bits: un número de dispositivo de 8 bytes, 4 bytes sin usar
En las versiones anteriores a la versión Solaris 8, el ID de terminal para números de puerto se asigna de la siguiente manera:
Aplicaciones de 32 bits: un número de puerto de 4 bytes, una dirección de IP de 4 bytes
Aplicaciones de 64 bits: un número de puerto de 8 bytes, una dirección de IP de 4 bytes
Desde la versión Solaris 8, el ID de terminal para números de puerto se especifica de la siguiente manera:
32-bit con IPv4: un número de puerto de 4 bytes, un tipo de IP de 4 bytes, una dirección de IP de 4 bytes
32-bit con IPv6: un número de puerto de 4 bytes, un tipo de IP de 4 bytes, una dirección de IP de 16 bytes
64-bit con IPv4: un número de puerto de 8 bytes, un tipo de IP de 4 bytes, una dirección de IP de 4 bytes
64-bit con IPv6: un número de puerto de 8 bytes, un tipo de IP de 4 bytes, una dirección de IP de 16 bytes
El comando praudit -x muestra los campos del token process. La línea se ajusta con fines de visualización.
<process audit-uid="-2" uid="root" gid="root" ruid="root" rgid="root" pid="9" sid="0" tid="0 0 0.0.0.0"/>
La siguiente figura muestra el formato de un token process.
Figura 31-5 Formato de token process
El token return contiene el estado de devolución de la llamada de sistema (u_error) y el valor de devolución de proceso (u_rval1 ).
El token return tiene tres campos:
Un ID de token que identifica este token como un token return
El estado de error de la llamada de sistema
El valor de devolución de la llamada de sistema
El token return siempre se devuelve como parte de los registros de auditoría generadas por el núcleo para las llamadas de sistema. En la auditoría de la aplicación, este token indica el estado de salida y otros valores de devolución.
El comando praudit muestra el token return para una llamada de sistema de la siguiente manera:
return,failure: Operation now in progress,-1
El comando praudit -x muestra los campos del token return:
<return errval="failure: Operation now in progress" retval="-1/">
El token sequence contiene un número de secuencia. El número de secuencia se incrementa cada vez que un registro de auditoría se agregue a la pista de auditoría. Este token es útil para la depuración.
El token sequence tiene dos campos:
Un ID de token que identifica este token como un token sequence
Un campo largo no asignado de 32 bits que contiene el número de secuencia
El comando praudit muestra el campo del token sequence:
sequence,1292
El comando praudit -x muestra el contenido del token sequence:
<sequence seq-num="1292"/>
Nota - El token sequence sólo se muestra cuando está activada la opción de política de auditoría seq.
El token socket contiene información que describe un socket de Internet. En algunos casos, el token tiene cuatro campos:
Un ID de token que identifica este token como un token socket
Un campo de tipo de socket que indica el tipo de socket al que se hace referencia, TCP, UDP o UNIX
El puerto local
La dirección IP local
El comando praudit muestra esta instancia del token socket de la siguiente manera:
socket,0x0002,0x83b1,localhost
En la mayoría de los casos, el token tiene ocho campos:
Un ID de token que identifica este token como un token socket
El dominio del socket
Un campo de tipo de socket que indica el tipo de socket al que se hace referencia, TCP, UDP o UNIX
El puerto local
El tipo de dirección, IPv4 o IPv6
La dirección IP local
El puerto remoto
La dirección IP remota
Desde la versión Solaris 8 la dirección de Internet se puede visualizar en formato de IPv4 o formato de IPv6. La dirección IPv4 utiliza 4 bytes. La dirección IPv6 utiliza 1 byte para describir el tipo de dirección y 16 bytes para describir la dirección.
El comando praudit muestra el token socket de la siguiente manera:
socket,0x0002,0x0002,0x83cf,example1,0x2383,server1.Subdomain.Domain.COM
El comando praudit -x muestra los campos del token socket. La línea se ajusta con fines de visualización.
<socket sock_domain="0x0002" sock_type="0x0002" lport="0x83cf" laddr="example1" fport="0x2383" faddr="server1.Subdomain.Domain.COM"/>
El token subject describe un usuario que lleva a cabo o intenta llevar a cabo una operación. El formato es el mismo que el del token process.
El token subject tiene nueve campos:
Un ID de token que identifica este token como un token subject
El ID de auditoría
El ID de usuario efectivo
El ID de grupo efectivo
El ID de usuario real
El ID de grupo real
El ID de proceso
El ID de sesión de auditoría
Un ID de terminal que está formado por un ID de dispositivo y una dirección IP del equipo
Los ID de auditoría, ID de usuario, ID de grupo, ID de proceso e ID de sesión son largos en lugar de ser cortos.
Nota - Los campos del token subject para el ID de sesión, el ID de usuario real o el ID de grupo real pueden no estar disponibles. Entonces, el valor se establece en -1.
Cualquier token que contiene ID de terminal posee distintas variaciones. El comando praudit oculta estas variaciones. Por lo tanto, el ID de terminal se maneja de la misma manera para cualquier token que contiene un ID de terminal. El ID de terminal puede ser una dirección IP y un número de puerto, o un ID de dispositivo. Un ID de dispositivo, como el puerto de serie que está conectado a un módem, puede ser cero. El ID de terminal se especifica en uno de los diversos formatos existentes.
El ID de terminal para los números de dispositivo se especifica de la siguiente manera:
Aplicaciones de 32 bits: un número de dispositivo de 4 bytes, 4 bytes sin usar
Aplicaciones de 64 bits: un número de dispositivo de 8 bytes, 4 bytes sin usar
En las versiones anteriores a la versión Solaris 8, el ID de terminal para números de puerto se asigna de la siguiente manera:
Aplicaciones de 32 bits: un número de puerto de 4 bytes, una dirección de IP de 4 bytes
Aplicaciones de 64 bits: un número de puerto de 8 bytes, una dirección de IP de 4 bytes
Desde la versión Solaris 8, el ID de terminal para números de puerto se especifica de la siguiente manera:
32-bit con IPv4: un número de puerto de 4 bytes, un tipo de IP de 4 bytes, una dirección de IP de 4 bytes
32-bit con IPv6: un número de puerto de 4 bytes, un tipo de IP de 4 bytes, una dirección de IP de 16 bytes
64-bit con IPv4: un número de puerto de 8 bytes, un tipo de IP de 4 bytes, una dirección de IP de 4 bytes
64-bit con IPv6: un número de puerto de 8 bytes, un tipo de IP de 4 bytes, una dirección de IP de 16 bytes
El token subject siempre se devuelve como parte de los registros de auditoría generadas por el núcleo para las llamadas de sistema. El comando praudit muestra el token subject de la siguiente manera:
subject,jdoe,root,root,root,root,1631,1421584480,8243 65558 machine1
El comando praudit -x muestra los campos del token subject. La línea se ajusta con fines de visualización.
<subject audit-uid="jdoe" uid="root" gid="root" ruid="root" rgid="root" pid="1631" sid="1421584480" tid="8243 65558 machine1"/>
La siguiente figura muestra el formato del token subject.
Figura 31-6 Formato de token subject
El token text contiene una cadena de texto.
El token text tiene tres campos:
Un ID de token que identifica este token como un token text
La longitud de la cadena de texto
La cadena de texto propiamente dicha
El comando praudit -x muestra el contenido del token text:
<text>booting kernel</text>
Los dos tokens, header y trailer, son especiales en cuanto distinguen los puntos finales de un registro de auditoría y encierran todos los demás tokens. Un token header comienza un registro de auditoría. Un token trailer finaliza un registro de auditoría. El token trailer es un token opcional. El token trailer se agrega como el último token de cada registro sólo cuando la opción de política de auditoría trail está configurada.
Cuando un registro de auditoría se genera cuando los ubicadores están desactivados, el comando auditreduce puede verificar que el ubicador haga referencia correctamente al encabezado del registro. El token trailer admite búsquedas hacia atrás en la pista de auditoría.
El token trailer tiene tres campos:
Un ID de token que identifica este token como un token trailer
Un número de relleno para ayudar a marcar el final del registro
El número total de caracteres en el registro de auditoría, incluidos los tokens header y trailer
El comando praudit muestra el token trailer de la siguiente manera:
trailer,136
El token uauth registra el uso de la autorización con un comando o acción.
El token uauth contiene los siguientes campos:
Un ID de token que identifica este token como un token uauth
La longitud del texto en el siguiente campo
Una lista de autorizaciones
El comando praudit muestra el token uauth de la siguiente manera:
use of authorization,solaris.admin.printer.delete
El token upriv registra el uso del privilegio con un comando o acción.
El comando praudit -x muestra los campos del token upriv:
<use_of_privilege result="successful use of priv">proc_setid</use_of_privilege>
El token zonename registra la zona en la que ocurrió el evento de auditoría. La cadena “global” indica los eventos de auditoría que se producen en la zona global.
El token zonename contiene los siguientes campos:
Un ID de token que identifica este token como un token zonename
La longitud del texto en el siguiente campo
El nombre de la zona
El comando praudit -x muestra el contenido del token zonename:
<zone name="graphzone"/>