Cómo auditar eventos importantes además del inicio y el cierre de sesión

Utilice este procedimiento para auditar los comandos administrativos, el acceso al sistema y otros eventos importantes según lo especificado por la política de seguridad del sitio.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

1. Audite todos los usos de los comandos con privilegios por los usuarios que tienen asignados los roles y los perfiles de derechos administrativos.

   Agregue la clase de auditoría cusa a su máscara de preselección.

   # usermod -K audit_flags=cusa:no username

   # rolemod -K audit_flags=cusa:no rolename

   Las clases de auditoría que incluye la metaclase cusa se muestran en el archivo /etc/security/audit_class.

2. Registre los argumentos de los comandos auditados.

   # auditconfig -setpolicy +argv

3. (Opcional) Registre el entorno en el que se ejecutan los comandos auditados.

   # auditconfig -setpolicy +arge

   ---

   Notas -  Esta opción de política puede ser útil al solucionar problemas.

   ---

Véase también

• Para obtener información sobre la política de auditoría, consulte Política de auditoría de Gestión de auditoría en Oracle Solaris 11.2 .

• Para obtener ejemplos sobre cómo establecer indicadores de auditoría, consulte Configuración del servicio de auditoría de Gestión de auditoría en Oracle Solaris 11.2 y Resolución de problemas del servicio de auditoría de Gestión de auditoría en Oracle Solaris 11.2 .

• Página del comando man auditconfig(1M)