跳过导航链接 | |
退出打印视图 | |
系统管理指南:安全性服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
通过指定一个或多个事件类,可以预选 Oracle Solaris 审计的系统范围的缺省值。将在系统的 audit_control 文件中针对每个系统预选这些类。将针对这些事件类对使用系统的用户进行审计。audit_control 文件中介绍了该文件。
您可以配置审计类并创建新的审计类。审计类名称的长度最多为 8 个字符。类说明最多可包含 72 个字符。允许使用数字和非字母数字字符。
可以通过将审计类添加到 audit_user 数据库中某个用户的项,来修改针对该用户的审计内容。审计类还可用作 auditconfig 命令的参数。有关详细信息,请参见 auditconfig(1M) 手册页。
下表显示了每个预定义的审计类、每个审计类的描述性名称,以及简短说明。
表 31-1 预定义的审计类
|
可以通过修改 /etc/security/audit_class 文件来定义新类,也可以重命名现有类。有关更多信息,请参见audit_class(4)手册页。
可以只针对成功情况对事件进行审计,也可以只针对失败情况对事件进行审计,还可以同时针对两种情况对事件进行审计。如果不带前缀,则同时针对成功和失败两种情况对事件类进行审计。如果带有加号 (+) 前缀,则仅针对成功情况对事件类进行审计。如果带有减号 (-) 前缀,则仅针对失败情况对事件类进行审计。下表显示了某些可能的审计类表示法。
表 31-2 审计类的加号和减号前缀
|
先前选择的审计类可以通过插入记号前缀 ^ 进一步修改。下表显示了插入记号前缀如何修改预选的审计类。
表 31-3 用于修改已指定的审计类的插入记号前缀
|
可以在以下文件和命令中使用审计类及其前缀:
在 audit_control 文件的 flags 行中
在 audit_control 文件的 plugin:name=audit_syslog.so; p_flags= 行中
在 audit_user 数据库的用户项中
作为 auditconfig 命令选项的参数。
有关在 audit_control 文件中使用前缀的示例,请参见audit_control 文件。