Puede que desee cambiar la pertenencia a clase de un evento de auditoría para reducir el tamaño de una clase de auditoría existente o para colocar el evento en una clase propia.
Precaución - Nunca quite el comentario de eventos en el archivo audit_event. Este archivo es utilizado por el comando praudit para leer archivos binarios de auditoría. Los archivos de auditoría almacenados pueden contener eventos que se muestran en el archivo. |
Cuando reconfigura asignaciones de evento-clase de auditoría en un sistema, copie el cambio en todos los sistemas que se auditan. Lo mejor es cambiar las asignaciones de evento-clase antes de que los primeros usuarios inicien sesión.
Antes de empezar
Debe convertirse en un administrador con la autorización solaris.admin.edit/etc/security/audit_event asignada. De manera predeterminada, sólo el rol root tiene esta autorización. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
# cp /etc/security/audit_event /etc/security/audit_event.orig
Cada entrada tiene el siguiente formato:
number:name:description:class-list
ID del evento de auditoría.
Nombre del evento de auditoría.
Normalmente, la llamada de sistema o el ejecutable que desencadena la creación de un registro de auditoría.
Una lista separada por comas de las clases de auditoría.
En este ejemplo, se asigna un evento de auditoría existente a la nueva clase creada en el Example 3–15. De manera predeterminada, el evento de auditoría AUE_PFEXEC se asigna a varias clases de auditoría. Mediante la creación de la nueva clase, el administrador puede auditar eventos AUE_PFEXEC sin auditar los eventos en las otras clases.
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # grep AUE_PFEXEC /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa # pfedit /etc/security/audit_event #116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)