Clases de auditoría

Los valores predeterminados en todo el sistema de la auditoría de Oracle Solaris se preseleccionan al especificar una o más clases de eventos. Las clases se preseleccionan para cada sistema en el archivo audit_control del sistema. Se audita cualquier persona que utilice el sistema para estas clases de eventos. El archivo se describe en Archivo audit_control.

Puede configurar clases de auditoría y realizar nuevas clases de auditoría. Los nombres de clase de auditoría puede tener un máximo de 8 caracteres de longitud. La descripción de clase está limitada a 72 caracteres. Se permite el uso de caracteres numéricos y no alfanuméricos.

Puede modificar qué se va a auditar para usuarios individuales al agregar clases de auditoría a la entrada de un usuario en la base de datos audit_user. Las clases de auditoría también se utilizan como argumentos para el comando auditconfig. Para obtener detalles, consulte la página del comando man auditconfig(1M).

Definiciones de clases de auditoría

La siguiente tabla muestra cada clase de auditoría predefinida, el nombre descriptivo de cada clase de auditoría y una descripción breve.

Tabla 31-1 Clases de auditoría predefinidas

Clase de auditoría	Nombre descriptivo	Descripción
`all`	`all`	Todas las clases (metaclase)
`no`	`no_class`	Valor nulo para desactivar la preselección de evento
`na`	`non_attrib`	Eventos no atribuibles
`fr`	`file_read`	Lectura de datos, abierto para lectura
`fw`	`file_write`	Escritura de datos, abierto para escritura
`fa`	`file_attr_acc`	Acceso de atributos de objeto: `stat`, `pathconf`
`fm`	`file_attr_mod`	Cambio de atributos de objeto: `chown`, `flock`
`fc`	`file_creation`	Creación de objeto
`fd`	`file_deletion`	Supresión de objeto
`cl`	`file_close`	`close`
`ap`	`application`	Evento definido por la aplicación
`ad`	`administrative`	Acciones administrativas (antigua metaclase administrativa)
`am`	`administrative`	Acciones administrativas (metaclase)
`ss`	`system state`	Cambio de estado de sistema
`as`	`system-wide administration`	Administración en todo el sistema
`ua`	`user administration`	Administración de usuarios
`aa`	`audit administration`	Utilización de auditoría
`ps`	`process start`	Inicio de proceso y detención de proceso
`pm`	`process modify`	Modificación de proceso
`pc`	`process`	Proceso (metaclase)
`ex`	`exec`	Ejecución de programa
`io`	`ioctl`	Llamada de sistema `ioctl()`
`ip`	`ipc`	Operaciones de System V IPC
`lo`	`login_logout`	Eventos de inicio y cierre de sesión
`nt`	`network`	Eventos de red: `bind`, `connect`, `accept`
`ot`	`other`	Otros, por ejemplo, asignación de dispositivos y `memcntl()`

Puede definir nuevas clases si modifica el archivo /etc/security/audit_class. También puede cambiar el nombre de clases existentes. Para obtener más información, consulte la página del comando man audit_class(4).

Sintaxis de la clase de auditoría

Los eventos se pueden auditar para determinar si son correctos, si tienen fallos o ambos cosas. Sin un prefijo, una clase de eventos se audita para determinar si es correcta o si falló. Con un prefijo de signo más (+), se audita una clase de eventos únicamente para determinar si son correctos. Con un prefijo de signo menos (-), se audita una clase de los eventos únicamente para determinar si tienen fallos. La siguiente tabla muestra algunas posibles representaciones de las clases de auditoría.

Tabla 31-2 Prefijos con signo más y signo menos para clases de auditoría

`[prefijo]` `clase`	Explicación
`lo`	Permite auditar todos los intentos correctos para iniciar sesión y cerrar sesión, y todos los intentos fallidos para iniciar sesión. Un usuario no puede fallar en un intento para cerrar sesión.
`+lo`	Permite auditar todos los intentos correctos para iniciar y cerrar una sesión.
`-all`	Permite auditar todos los eventos con fallos.
`+all`	Permite auditar todos los eventos correctos.

Precaución - La clase all puede generar grandes cantidades de datos y llenar rápidamente los sistemas de archivos de auditoría. Utilice la clase all sólo si se tienen motivos extraordinarios para auditar todas las actividades.

Las clases de auditoría previamente seleccionadas pueden seguir modificándose con un prefijo de acento circunflejo, ^. La siguiente tabla muestra cómo el prefijo de acento circunflejo modifica una clase de auditoría preseleccionada.

Tabla 31-3 Prefijo de acento circunflejo que modifica clases de auditoría ya especificadas

`^`[`prefijo`]`clase`	Explicación
`-all,^-fc`	Permite auditar todos los eventos con fallos, excepto los intentos con fallos para crear objetos de archivo que no se deben auditar
`am,^+aa`	Permite auditar todos los eventos administrativos para determinar si son correctas o si fallaron, excepto los intentos correctos de administración de auditoría que no se deben auditar
`am,^ua`	Permite auditar todos los eventos administrativos para determinar si son correctas o si fallaron, excepto los eventos administración de usuarios que no se deben auditar

Las clases de auditoría y sus prefijos se pueden utilizar en los siguientes archivos y comandos:

En la línea flags en el archivo audit_control
En la línea plugin:name=audit_syslog.so; p_flags= en el archivo audit_control
En la entrada del usuario en la base de datos audit_user
Como argumentos para las opciones de comando auditconfig

Consulte Archivo audit_control para obtener un ejemplo de cómo usar los prefijos en el archivo audit_control.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Guía de administración del sistema: servicios de seguridad