Gestion de l'audit dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Juillet 2014
 
 

Classes d'audit et présélection

Chaque événement d'audit appartient à une classe d'audit. Les classes d'audit sont des conteneurs pratiques pour les grands nombres d'événements d'audit. Lorsque vous présélectionnez une classe pour la soumettre à un audit, tous les événements de cette classe sont enregistrés dans la file d'attente de l'audit. Par exemple, lorsque vous présélectionnez la classe d'audit ps, les appels système execve(), fork() et autres sont enregistrés.

Vous pouvez effectuer une présélection pour des événements sur un système et pour des événements initiés par un utilisateur particulier.

  • Présélection à l'échelle du système : spécifiez les paramètres d'audit par défaut du système à l'aide des options –setflags et –setnaflags de la commande auditconfig.

    Remarque - Si la stratégie perzone est définie, les classes d'audit par défaut peuvent être spécifiées dans chaque zone. Pour l'audit perzone, les paramètres par défaut sont à l'échelle d'une zone, et non à l'échelle du système.

  • Présélection spécifique à l'utilisateur : spécifiez les différences par rapport aux paramètres d'audit par défaut du système en configurant les indicateurs d'audit spécifiques à l'utilisateur concerné. Les commandes useradd, roleadd, usermod et rolemod placent l'attribut de sécurité audit_flags dans la base de données user_attr. La commande profiles place les indicateurs d'audit pour les profils de droits dans la base de données prof_attr.

    Le masque de présélection d'audit détermine les classes d'événements auditées pour un utilisateur. Pour obtenir une description du masque de présélection utilisateur, reportez-vous à la section Caractéristiques de l'audit de processus. Pour les indicateurs d'audit configurés utilisés, reportez-vous à la section Ordre de recherche pour Assigned Rights du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

Les classes d'audit sont définies dans le fichier /etc/security/audit_class. Chaque entrée contient le masque d'audit pour la classe, le nom de la classe et un nom descriptif de la classe. Par exemple, les définitions de classe lo et ps s'affichent dans le fichier audit_class comme suit :

0x0000000000001000:lo:login or logout
0x0000000000100000:ps:process start/stop

Les classes d'audit comprennent les deux classes globales : all et no. Les classes d'audit sont décrites à la page de manuel audit_class(4). Pour obtenir la liste des classes, consultez le fichier /etc/security/audit_class.

Le mappage entre les événements d'audit et les classes peut être configuré. Vous pouvez supprimer des événements à partir d'une classe, ajouter des événements à une classe et créer une nouvelle classe destinée à contenir des événements sélectionnés. Pour connaître la procédure, reportez-vous à la section Modification de l'appartenance à une classe d'un événement d'audit. Pour afficher les événements associés à une classe, utilisez la commande auditrecord -c class.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant