Cada uno de los eventos de auditoría pertenece a una clase de auditoría. Las clases de auditoría son contenedores prácticos para un gran número de eventos de auditoría. Cuando se preselecciona una clase para auditar, todos los eventos de esa clase se registran en la cola de auditoría. Por ejemplo, cuando preselecciona la clase de auditoría ps, se registran execve(), fork () y otras llamadas del sistema.
Puede preseleccionar para eventos de un sistema y para eventos iniciados por un usuario concreto.
Preselección en todo el sistema: especifique los valores predeterminados en todo el sistema para auditoría mediante las opciones –setflags y –setnaflags para el comando auditconfig.
Preselección específica del usuario: especifique diferencias de valores predeterminados de auditoría en todo el sistema para usuarios individuales mediante la configuración de los indicadores de auditoría para el usuario. Los comandos useradd, roleadd, usermod y rolemod ubican el atributo de seguridad audit_flags en la base de datos user_attr. El comando profiles ubica indicadores de auditoría para los perfiles de derechos en la base de datos prof_attr.
La máscara de preselección de auditoría determina las clases de eventos que se auditarán para un usuario. Para obtener una descripción de la máscara de preselección de usuario, consulte Características del proceso de auditoría. Para conocer los indicadores de auditoría configurados que se utilizan, consulte Orden de búsqueda para derechos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Las clases de auditoría se definen en el archivo /etc/security/audit_class. Cada entrada contiene la máscara de auditoría para la clase, el nombre para la clase y un nombre descriptivo para la clase. Por ejemplo, las definiciones de clase lo y ps aparecen en el archivo audit_class, de la siguiente manera:
0x0000000000001000:lo:login or logout 0x0000000000100000:ps:process start/stop
Las clases de auditoría incluyen dos clases globales: all y no. Las clases de auditoría se describen en la página del comando man audit_class(4). Para la lista de clases, lea el archivo /etc/security/audit_class.
La asignación de eventos de auditoría a clases es configurable. Puede eliminar eventos de una clase, agregar eventos a una clase y crear una nueva clase para colocar eventos seleccionados. Para conocer el procedimiento, consulte Cómo cambiar una pertenencia a clase de un evento de auditoría. Para ver los eventos que se asignan a una clase, utilice el comando auditrecord -c clase.