Cuando crea su propia clase de auditoría, puede colocar en ella sólo los eventos de auditoría que desea auditar para su sitio. Esta estrategia puede reducir el número de registros que se recopilan y reducir el ruido en la pista de auditoría.
Al agregar la clase en un sistema, copie el cambio en todos los sistemas que se están auditando. La mejor práctica es crear clases de auditoría antes de que se conecten los primeros usuarios.
Para obtener información sobre los efectos de modificar un archivo de configuración de auditoría, consulte Archivos de configuración de auditoría y empaquetado.
Antes de empezar
Seleccione bits libres para su entrada única. Verifique qué bits están disponibles para que usen los clientes en el archivo /etc/security/audit_class.
Debe convertirse en un administrador con la autorización solaris.admin.edit/etc/security/audit_class asignada. De manera predeterminada, sólo el rol root tiene esta autorización. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
# cp /etc/security/audit_class /etc/security/audit_class.orig
Cada entrada tiene el siguiente formato:
0x64bitnumber:flag:description
Para obtener una descripción de los campos, consulte la página del comando man audit_class(4). Para obtener una lista de clases existentes, lea el archivo /etc/security/audit_class.
En este ejemplo, se crea una clase para mantener los comandos administrativos que se ejecutan en un rol. La entrada agregada al archivo audit_class se muestra a continuación:
0x0100000000000000:pf:profile command
La entrada crea la clase de auditoría nueva pf. El Example 3–16 muestra cómo completar la clase de auditoría nueva.
Errores más frecuentes
Si ha personalizado el archivo audit_class, asegúrese de que los indicadores de auditoría asignados directamente a los usuarios o los perfiles de derechos sean coherentes con las clases de auditoría nuevas. Se producen errores cuando un valor audit_flags no es un subconjunto del archivo audit_class.