Gestión de auditoría en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Julio de 2014
 
 

Cómo cambiar una pertenencia a clase de un evento de auditoría

Puede que desee cambiar la pertenencia a clase de un evento de auditoría para reducir el tamaño de una clase de auditoría existente o para colocar el evento en una clase propia.

Caution

Precaución  -  Nunca quite el comentario de eventos en el archivo audit_event. Este archivo es utilizado por el comando praudit para leer archivos binarios de auditoría. Los archivos de auditoría almacenados pueden contener eventos que se muestran en el archivo.

Cuando reconfigura asignaciones de evento-clase de auditoría en un sistema, copie el cambio en todos los sistemas que se auditan. Lo mejor es cambiar las asignaciones de evento-clase antes de que los primeros usuarios inicien sesión.

Notas -  Para obtener información sobre los efectos de modificar un archivo de configuración de auditoría, consulte Archivos de configuración de auditoría y empaquetado.
Consejo  -  En Oracle Solaris, puede crear su propio paquete que contiene archivos y reemplazar los paquetes de Oracle Solaris con archivos personalizados según el sitio. Cuando establece el atributo preserve en true en su paquete, los subcomandos pkg, como verify, fix, revert, etc, se ejecutarán en relación con sus paquetes. Para obtener más información, consulte las páginas del comando man pkg(1) y pkg(5).

Antes de empezar

Debe convertirse en un administrador con la autorización solaris.admin.edit/etc/security/audit_event asignada. De manera predeterminada, sólo el rol root tiene esta autorización. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. (Opcional) Guarde una copia de seguridad del archivo audit_event. 
    # cp /etc/security/audit_event /etc/security/audit_event.orig
  2. Cambie la clase a la que pertenecen los eventos determinados; para esto, cambie la class-list de los eventos.

    Cada entrada tiene el siguiente formato:

    number:name:description:class-list
    number

    ID del evento de auditoría.

    name

    Nombre del evento de auditoría.

    description

    Normalmente, la llamada de sistema o el ejecutable que desencadena la creación de un registro de auditoría.

    class-list

    Una lista separada por comas de las clases de auditoría.

Ejemplo 3-16  Asignación de eventos de auditoría existentes a una nueva clase

En este ejemplo, se asigna un evento de auditoría existente a la nueva clase creada en el Example 3–15. De manera predeterminada, el evento de auditoría AUE_PFEXEC se asigna a varias clases de auditoría. Mediante la creación de la nueva clase, el administrador puede auditar eventos AUE_PFEXEC sin auditar los eventos en las otras clases.

# grep pf /etc/security/audit_class
0x0100000000000000:pf:profile command
# grep AUE_PFEXEC /etc/security/audit_event
116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa
# pfedit /etc/security/audit_event
#116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa
116:AUE_PFEXEC:execve(2) with pfexec enabled:pf
# auditconfig -setflags lo,pf
user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)
Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente