Cómo evitar la auditoría de eventos específicos - Gestión de auditoría en Oracle® Solaris 11.2

Gestión de auditoría en Oracle^® Solaris 11.2

Salir de la Vista de impresión

» ...Documentation Home » Gestión de auditoría en ... » Gestión del servicio de auditoría » Personalización de lo que se audita » Cómo evitar la auditoría de eventos específicos

Actualización: Julio de 2014

Gestión de auditoría en Oracle^® Solaris 11.2

Información del documento

Uso de esta documentación

Capítulo 1 Acerca de la auditoría en Oracle Solaris

Capítulo 2 Planificación de la auditoría

Capítulo 3 Gestión del servicio de auditoría

Configuración predeterminada del servicio de auditoría

Visualización de los valores predeterminados del servicio de auditoría

Activación y desactivación del servicio de auditoría

Configuración del servicio de auditoría

Cómo preseleccionar clases de auditoría

Cómo configurar las características de auditoría de un usuario

Cómo cambiar la política de auditoría

Cómo cambiar controles de colas de auditoría

Cómo configurar el alias de correo electrónico audit_warn

Cómo agregar una clase de auditoría

Cómo cambiar una pertenencia a clase de un evento de auditoría

Personalización de lo que se audita

Cómo auditar todos los comandos por usuarios

Cómo buscar registros de auditoría de los cambios realizados en archivos específicos

Cómo actualizar la máscara de preselección de usuarios con sesión iniciada

Cómo evitar la auditoría de eventos específicos

Cómo comprimir archivos de auditoría en un sistema de archivos dedicado

Cómo auditar transferencias de archivos FTP y SFTP

Configuración del servicio de auditoría en zonas

Cómo configurar todas las zonas de forma idéntica para la auditoría

Cómo configurar la auditoría por zona

Ejemplo: configuración de auditoría de Oracle Solaris

Capítulo 4 Supervisión de actividades del sistema

Capítulo 5 Cómo trabajar con datos de auditoría

Capítulo 6 Análisis y resolución de problemas del servicio de auditoría

Capítulo 7 Referencia sobre auditoría

Glosario de seguridad

Idioma:

Cómo evitar la auditoría de eventos específicos

Con fines de mantenimiento, a veces, un sitio quiere evitar que se auditen eventos.

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Cambie la clase del evento a la clase no.

Notas - Para obtener información sobre los efectos de modificar un archivo de configuración de auditoría, consulte Archivos de configuración de auditoría y empaquetado.

Por ejemplo, los eventos 26 y 27 pertenecen a la clase pm.

## audit_event file
...
25:AUE_VFORK:vfork(2):ps
26:AUE_SETGROUPS:setgroups(2):pm
27:AUE_SETPGRP:setpgrp(2):pm
28:AUE_SWAPON:swapon(2):no
...

Cambie estos eventos a la clase no.

## audit_event file
...
25:AUE_VFORK:vfork(2):ps
26:AUE_SETGROUPS:setgroups(2):no
27:AUE_SETPGRP:setpgrp(2):no
28:AUE_SWAPON:swapon(2):no
...

Si la clase pm está asiendo auditada actualmente, las sesiones existentes aún auditarán los eventos 26 y 27. Para detener la auditoría de estos eventos, debe actualizar las máscaras de preselección de los usuarios siguiendo las instrucciones de Cómo actualizar la máscara de preselección de usuarios con sesión iniciada.

Caution

Precaución - Nunca quite el comentario de eventos en el archivo audit_event. Este archivo es utilizado por el comando praudit para leer archivos binarios de auditoría. Los archivos de auditoría almacenados pueden contener eventos que se muestran en el archivo.

Refresque los eventos del núcleo.

# auditconfig -conf
Configured 283 kernel events.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal