Classes d'audit

Les valeurs par défaut du système pour l'audit Oracle Solaris sont présélectionnées en spécifiant une ou plusieurs classes d'événements. Les classes sont présélectionnées pour chaque système dans le fichier système audit_control. Toute personne qui utilise le système est auditée pour ces classes d'événements. Le fichier est décrit dans la section Fichier audit_control.

Vous pouvez configurer les classes d'audit et effectuer de nouvelles classes d'audit. Les noms de classe d'audit peuvent contenir jusqu'à 8 caractères. La description de la classe est limitée à 72 caractères. Les caractères numériques et non alphanumériques sont autorisés.

Vous pouvez modifier les objets à auditer pour chaque utilisateur en ajoutant des classes d'audit à l'entrée utilisateur dans la base de données audit_user. Les classes d'audit sont également utilisées en tant qu'arguments de la commande auditconfig. Pour plus d'informations, reportez-vous à la page de manuel auditconfig(1M).

Définition de classes d'audit

Le tableau suivant présente chaque classe d'audit prédéfinie, le nom descriptif pour chaque classe d'audit, ainsi qu'une brève description.

Tableau 31-1 Classes d'audit prédéfinies

Classe d'audit	Nom descriptif	Description
`all`	`all`	Toutes les classes (métaclasse)
`no`	`no_class`	Valeur Null pour désactiver la présélection d'événements.
`na`	`non_attrib`	Événements non allouables
`fr`	`file_read`	Lecture de données, ouverture pour la lecture
`fw`	`file_write`	Écriture de données, ouverture pour l'écriture
`fa`	`file_attr_acc`	Accès des attributs d'objet : `stat`, `pathconf`
`fm`	`file_attr_mod`	Modification des attributs d'objet : `chown`, `flock`
`fc`	`file_creation`	Création d'objet
`fd`	`file_deletion`	Suppression d'objet
`cl`	`file_close`	`close`, appel système
`ap`	`application`	Événement défini par l'application
`ad`	`administrative`	Actions d'administration (ancienne métaclasse administrative)
`am`	`administrative`	Actions d'administration (métaclasse)
`ss`	`État du système`	Modification de l'état du système
`as`	`system-wide administration`	Administration du système entier
`ua`	`user administration`	Administration des utilisateurs
`aa`	`audit administration`	Utilisation d'audit
`ps`	`process start`	Début et arrêt de processus
`pm`	`process modify`	Modification de processus
`pc`	`process`	Processus (métaclasse)
`ex`	`exec`	Exécution de programme
`io`	`ioctl`	`ioctl()`, appel système
`ip`	`ipc`	Opérations IPC System V
`lo`	`login_logout`	Événements de connexion et de déconnexion
`nt`	`network`	Événements réseau : `bind`, `connect`, `accept`
`ot`	`other`	Divers, par exemple, l'allocation de périphériques et `memcntl()`

Vous pouvez définir de nouvelles classes en modifiant le fichier /etc/security/audit_class. Vous pouvez également renommer des classes existantes. Pour plus d'informations, reportez-vous à la page de manuel audit_class(4).

Syntaxe de classe d'audit

Les résultats des événements (échecs et réussites) peuvent être audités. Sans préfixe, l'audit d'une classe d'événements porte à la fois sur les réussites et les échecs. Avec un signe plus (+) en préfixe, l'audit d'une classe d'événements porte uniquement sur les réussites. Avec un signe moins (-) en préfixe, l'audit d'une classe d'événements porte uniquement sur les échecs. Le tableau suivant indique des représentations possibles des classes d'audit.

Tableau 31-2 Préfixes plus et moins pour les classes d'audit

`[préfixe]` `classe`	Explication
`lo`	Audit sur toutes les tentatives réussies de connexion et déconnexion, et sur tous les échecs de connexion. Un utilisateur ne peut pas échouer lors d'une tentative de connexion.
`+lo`	Audit sur toutes les tentatives réussies de connexion et déconnexion.
`-all`	Audit sur tous les événements d'échec.
`+all`	Audit sur tous les événements de réussite.

Attention - La classe all peut générer de grandes quantités de données d'audit et remplir rapidement les systèmes de fichiers. Utilisez la classe all uniquement lorsque vous avez des raisons d'auditer toutes les activités.

Après avoir sélectionné des classes d'audit, vous pouvez les modifier en ajoutant un accent circonflexe ^ en préfixe. Le tableau suivant montre comment l'accent circonflexe en préfixe modifie une classe d'audit présélectionnée.

Tableau 31-3 Accent circonflexe en préfixe de classes d'audit déjà spécifiées

`^`[`préfixe`]`classe`	Explication
`-all,^-fc`	Audit de tous les événements d'échec, à l'exception des tentatives de création d'objet fichier ayant échoué.
`am,^+aa`	Audit de tous les événements d'administration, qu'il s'agisse d'échecs ou de réussites, à l'exception les tentatives réussies d'administration de l'audit.
`am,^ua`	Audit de tous les événements d'administration, qu'il s'agisse d'échecs ou de réussites, à l'exception des événements d'administration des utilisateurs.

Les classes d'audit et leurs préfixes peuvent être utilisés dans les fichiers et commandes ci-après :

Dans la ligne flags du fichier audit_control
Dans la ligne plugin:name=audit_syslog.so; p_flags= du fichier audit_control
Dans l'entrée utilisateur de la base de données audit_user
En tant qu'arguments des options de la commande auditconfig

La section Fichier audit_control présente un exemple d'utilisation des préfixes dans le fichier audit_control.

Ignorer les liens de navigation
Quitter l'aperu
	Guide d'administration système : Services de sécurité