Lorsque vous créez votre propre classe d'audit, vous pouvez y placer uniquement les événements que vous souhaitez auditer pour votre site. Cette stratégie peut réduire le nombre d'enregistrements qui sont collectés ainsi que le bruit de la piste d'audit.
Lorsque vous ajoutez la classe sur un seul système, copiez la modification sur tous les systèmes audités. Il est préférable de créer les classes d'audit avant la connexion des premiers utilisateurs.
Pour des informations sur les effets de la modification d'un fichier de configuration d'audit, reportez-vous à la section Fichiers de configuration d'audit et empaquetage.
Avant de commencer
Choisissez des bits libres pour votre entrée unique. Vérifiez quels bits sont disponibles pour l'usage par des clients dans le fichier /etc/security/fichier audit_class.
Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.admin.edit/etc/security/audit_class. Par défaut, seul le rôle root dispose de cette autorisation. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
# cp /etc/security/audit_class /etc/security/audit_class.orig
Chaque entrée possède le format suivant :
0x64bitnumber:flag:description
Pour une description des champs, reportez-vous à la page de manuel audit_class(4). Pour obtenir la liste des classes existantes, consultez le fichier /etc/security/audit_class.
Cet exemple crée une classe pour contenir les commandes d'administration exécutées dans le cadre d'un rôle. L'entrée ajoutée au fichier audit_class se présente comme suit :
0x0100000000000000:pf:profile command
L'entrée crée la nouvelle classe d'audit pf. L'Example 3–16 montre comment renseigner la nouvelle classe d'audit.
Dépannage
Si vous avez personnalisé le fichier audit_class, assurez-vous que tous les indicateurs d'audit qui sont assignés directement à des utilisateurs ou des profils de droits correspondent aux nouvelles classes d'audit. Des erreurs se produisent lorsqu'une valeur audit_flags n'est pas un sous-ensemble du fichier audit_class.