Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Clases de auditoría y preselección

Cada uno de los eventos de auditoría pertenece a una clase de auditoría. Las clases de auditoría son contenedores prácticos para un gran número de eventos de auditoría. Cuando se preselecciona una clase para auditar, todos los eventos de esa clase se registran en la cola de auditoría. Por ejemplo, cuando preselecciona la clase de auditoría ps, se registran execve(), fork () y otras llamadas del sistema.

Puede preseleccionar para eventos de un sistema y para eventos iniciados por un usuario concreto.

  • Preselección en todo el sistema: especifique los valores predeterminados en todo el sistema para auditoría mediante las opciones –setflags y –setnaflags para el comando auditconfig.


    Notas - Si la política perzone está establecida, se pueden especificar las clases de auditoría predeterminadas en cada zona. Para la auditoría perzone, los valores predeterminados son para toda la zona y no para todo el sistema.
  • Preselección específica del usuario: especifique diferencias de valores predeterminados de auditoría en todo el sistema para usuarios individuales mediante la configuración de los indicadores de auditoría para el usuario. Los comandos useradd, roleadd, usermod y rolemod ubican el atributo de seguridad audit_flags en la base de datos user_attr. El comando profiles ubica indicadores de auditoría para los perfiles de derechos en la base de datos prof_attr.

    La máscara de preselección de auditoría determina las clases de eventos que se auditarán para un usuario. Para obtener una descripción de la máscara de preselección de usuario, consulte Características del proceso de auditoría. Para conocer los indicadores de auditoría configurados que se utilizan, consulte Orden de búsqueda para derechos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Las clases de auditoría se definen en el archivo /etc/security/audit_class. Cada entrada contiene la máscara de auditoría para la clase, el nombre para la clase y un nombre descriptivo para la clase. Por ejemplo, las definiciones de clase lo y ps aparecen en el archivo audit_class, de la siguiente manera:

0x0000000000001000:lo:login or logout
0x0000000000100000:ps:process start/stop

Las clases de auditoría incluyen dos clases globales: all y no. Las clases de auditoría se describen en la página del comando man audit_class(4). Para la lista de clases, lea el archivo /etc/security/audit_class.

La asignación de eventos de auditoría a clases es configurable. Puede eliminar eventos de una clase, agregar eventos a una clase y crear una nueva clase para colocar eventos seleccionados. Para conocer el procedimiento, consulte Cómo cambiar una pertenencia a clase de un evento de auditoría. Para ver los eventos que se asignan a una clase, utilice el comando auditrecord -c clase.