Les événements d'audit représentent les actions pouvant faire l'objet d'un audit sur un système. Les événements d'audit sont répertoriés dans le fichier /etc/security/audit_event. Chaque événement d'audit est connecté à un appel système ou une commande utilisateur et est affecté à une ou plusieurs classes d'audit. Pour obtenir une description du format du fichier audit_event, reportez-vous à la page de manuel audit_event(4).
Par exemple, l'événement d'audit AUE_EXECVE soumet à l'audit l'appel système execve(). La commande auditrecord -e execve affiche cette entrée :
# auditrecord -e execve execve system call execve See execve(2) event ID 23 AUE_EXECVE class ps,ex (0x0000000040100000) header path [attribute] omitted on error [exec_arguments] output if argv policy is set [exec_environment] output if arge policy is set subject [use_of_privilege] return
Lorsque vous présélectionnez la classe d'audit ps ou ex, chaque appel système execve() est enregistré dans la file d'attente de l'audit.
L'audit gère les événements attribuables etnon attribuables. La stratégie d'audit répartit les événements en événements synchrones et asynchrones, comme suit :
Evénements attribuables : événements pouvant être attribués à un utilisateur. L'appel système execve() peut être attribué à un utilisateur, de sorte qu'il est considéré comme un événement attribuable. Tous les événements attribuables sont des événements synchrones.
Evénements non attribuables : événements se produisant au niveau d'interruption du noyau ou avant l'authentification d'un utilisateur. La classe d'audit na gère les événements d'audit non attribuables. Par exemple, l'initialisation du système est un événement non attribuable. La plupart des événements non attribuables sont des événements asynchrones. Cependant, les événements non attribuables auxquels sont associés des processus, tels qu'un échec de connexion, sont des événements synchrones.
Evénements synchrones : événements associés à un processus dans le système. Les événements synchrones constituent la majorité des événements système.
Evénements asynchrones : événements associés à aucun processus, de sorte qu'aucun processus ne peut être bloqué puis réactivé ultérieurement. L'initialisation système initiale et les événements d'entrée et de sortie PROM sont des exemples d'événements asynchrones.
Outre les événements d'audit définis par le service d'audit, des événements d'audit peuvent également être générés par des applications tierces. Les numéros d'événements d'audit compris entre 32768 et 65535 sont disponibles pour les applications tierces. Les fournisseurs doivent contacter leur représentant Oracle Solaris pour réserver des numéros d'événements et obtenir l'accès aux interfaces d'audit.