各監査イベントは、1 つの監査クラスに属しています。監査クラスは、多数の監査イベントが入った便利な入れ物です。クラスを監査対象として事前選択した場合は、そのクラス内のすべてのイベントが監査キュー内に記録されます。たとえば、ps 監査クラスを事前選択すると、execve()、fork()、およびその他のシステムコールが記録されます。
システム上のイベントまたは特定のユーザーによって開始されるイベントに対して事前選択できます。
システム全体の事前選択 – –auditconfig コマンドの –setflags および setnaflags オプションを使用して、監査のためのシステム全体のデフォルトを指定します。
ユーザー固有の事前選択 – 個々のユーザーの監査フラグを構成することにより、そのユーザーについて、システム全体の監査のデフォルトとの違いを指定します。useradd、roleadd、 usermod、および rolemod コマンドは、audit_flags セキュリティー属性を user_attr データベース内に配置します。profiles コマンドは、権利プロファイルの監査フラグを prof_attr データベース内に配置します。
監査事前選択マスクにより、ユーザーに対して監査されるイベントのクラスを決定します。ユーザーの事前選択マスクについては、プロセスの監査特性を参照してください。使用されている構成済みの監査フラグについては、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられた権利の検索順序を参照してください。
監査クラスは、/etc/security/audit_class ファイルに定義されます。各エントリには、クラスの監査マスク、クラスの名前、およびクラスの記述名が含まれます。たとえば、lo および ps クラス定義は、次のように audit_class ファイルに表示されます。
0x0000000000001000:lo:login or logout 0x0000000000100000:ps:process start/stop
監査クラスには、all と no の 2 つのグローバルクラスが含まれています。監査クラスについては、audit_class(4) のマニュアルページを参照してください。クラスの一覧については、/etc/security/audit_class ファイルを参照してください。
監査イベントのクラスへの割り当ては構成可能です。クラスからイベントを削除したり、クラスにイベントを追加したり、新しいクラスを作成して選択したイベントを含めることができます。手順については、監査イベントの所属先クラスの変更方法を参照してください。クラスにマップされているイベントを表示するには、auditrecord -c class コマンドを使用します。