Con fines de mantenimiento, a veces, un sitio quiere evitar que se auditen eventos.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Por ejemplo, los eventos 26 y 27 pertenecen a la clase pm.
## audit_event file ... 25:AUE_VFORK:vfork(2):ps 26:AUE_SETGROUPS:setgroups(2):pm 27:AUE_SETPGRP:setpgrp(2):pm 28:AUE_SWAPON:swapon(2):no ...
Cambie estos eventos a la clase no.
## audit_event file ... 25:AUE_VFORK:vfork(2):ps 26:AUE_SETGROUPS:setgroups(2):no 27:AUE_SETPGRP:setpgrp(2):no 28:AUE_SWAPON:swapon(2):no ...
Si la clase pm está asiendo auditada actualmente, las sesiones existentes aún auditarán los eventos 26 y 27. Para detener la auditoría de estos eventos, debe actualizar las máscaras de preselección de los usuarios siguiendo las instrucciones de Cómo actualizar la máscara de preselección de usuarios con sesión iniciada.
Precaución - Nunca quite el comentario de eventos en el archivo audit_event. Este archivo es utilizado por el comando praudit para leer archivos binarios de auditoría. Los archivos de auditoría almacenados pueden contener eventos que se muestran en el archivo. |
# auditconfig -conf Configured 283 kernel events.