Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Eventos de auditoría

Los eventos de auditoría representan acciones que se pueden auditar en un sistema. Los eventos de auditoría se muestran en el archivo /etc/security/audit_event. Cada evento de auditoría está conectado a una llamada del sistema o comando de usuario, y está asignado a una o más clases de auditoría. Para obtener una descripción del formato del archivo audit_event, consulte la página del comando man audit_event(4).

Por ejemplo, el evento de auditoría AUE_EXECVE audita la llamada del sistema execve(). El comando auditrecord -e execve muestra esta entrada:

# auditrecord -e execve
execve
system call execve               See execve(2)
event ID    23                   AUE_EXECVE
class       ps,ex                (0x0000000040100000)
header
path
[attribute]                  omitted on error
[exec_arguments]             output if argv policy is set
[exec_environment]           output if arge policy is set
subject
[use_of_privilege]
return

Cuando preselecciona la clase de auditoría ps o la clase de auditoría ex, entonces cada llamada del sistema execve() se registra en la cola de auditoría.

    La auditoría maneja eventos atribuibles y no atribuibles. La política de auditoría divide los eventos en síncronos y asíncronos, de la siguiente manera:

  • Eventos atribuibles: eventos que se pueden atribuir a un usuario. La llamada del sistema execve() se puede atribuir a un usuario, por lo tanto, se considera un evento atribuible. Todos los eventos atribuibles son eventos síncronos.

  • Eventos no atribuibles: eventos que ocurren en el nivel de interrupción del núcleo o antes de que un usuario sea autenticado. La clase de auditoría na maneja los eventos de auditoría que no son atribuibles. Por ejemplo, el inicio del sistema es un evento no atribuible. La mayoría de los eventos no atribuibles son eventos asíncronos. Sin embargo, los eventos no atribuibles que tienen procesos asociados, como un inicio de sesión fallido, son eventos síncronos.

  • Eventos síncronos: eventos que están asociados con un proceso en el sistema. La mayoría de los eventos del sistema son eventos síncronos.

  • Eventos asíncronos: eventos que no están asociados con ningún proceso, por lo que no hay ningún proceso disponible para bloquear y más tarde iniciar. Los eventos de salida y entrada de la PROM, y de inicio del sistema inicial son ejemplos de eventos asíncronos.

Además de los eventos de auditoría que define el servicio de auditoría, las aplicaciones de terceros pueden generar eventos de auditoría. Los números de evento de auditoría de 32768 a 65535 están disponibles para aplicaciones de terceros. Los proveedores necesitan ponerse en contacto con sus representantes de Oracle Solaris para reservar números de evento y obtener acceso a las interfaces de auditoría.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente