Vous pouvez être amené à modifier l'appartenance à une classe d'un événement d'audit pour réduire la taille d'une classe d'audit ou pour placer l'événement dans une classe à part.
Mise en garde - Ne commentez jamais les événements dans le fichier audit_event. Ce fichier est utilisé par la commande praudit binaire pour lire les fichiers d'audit binaires. Les fichiers d'audit archivés peuvent contenir des événements répertoriés dans le fichier. |
Lorsque vous reconfigurez les mappages événements-classes d'audit d'un système, copiez la modification sur tous les systèmes audités. Il est vivement conseillé de modifier les mappages événements-classes avant que les premiers utilisateurs ne se connectent.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant de l'autorisation solaris.admin.edit/etc/security/audit_event. Par défaut, seul le rôle root dispose de cette autorisation. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
# cp /etc/security/audit_event /etc/security/audit_event.orig
Chaque entrée possède le format suivant :
number:name:description:class-list
ID de l'événement d'audit.
Nom de l'événement d'audit.
En règle générale, l'appel système ou l'exécutable qui déclenche la création d'un enregistrement d'audit.
Liste de classes d'audit séparées par des virgules.
Dans cet exemple, un événement d'audit existant est mappé à la nouvelle classe créée dans l'Example 3–15. Par défaut, l'événement d'audit AUE_PFEXEC est mappé à plusieurs classes d'audit. En créant la nouvelle classe, l'administrateur peut auditer les événements AUE_PFEXEC sans auditer les événements dans les autres classes.
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # grep AUE_PFEXEC /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa # pfedit /etc/security/audit_event #116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)