監査イベントの所属先クラスの変更方法
既存の監査クラスのサイズを減らしたり、独自のクラスにイベントを入れたりするために、監査イベントのクラスメンバーシップを変更できます。
 | 注意 - audit_event ファイルではイベントをコメントにしないでください。このファイルは、praudit コマンドがバイナリ監査ファイルを読み取るときに使用します。また、このファイルに一覧表示されたイベントが、保管された監査ファイルに含まれることがあります。 |
1 つのシステム上で監査イベントからクラスへのマッピングを再構成した場合は、その変更を、監査されているすべてのシステムにコピーします。ベストプラクティスとして、最初のユーザーがログインする前に、イベントからクラスへのマッピングを変更してください。
ヒント - Oracle Solaris では、ファイルが含まれる独自のパッケージを作成したり、Oracle Solaris パッケージをサイトでカスタマイズされたファイルで置き換えたりすることができます。パッケージ内で preserve 属性を true に設定すると、pkg サブコマンド (verify、fix、revert など) は、そのパッケージを基準にして動作します。詳細については、pkg(1) および pkg(5) のマニュアルページを参照してください。
始める前に
solaris.admin.edit/etc/security/audit_event 承認が割り当てられている管理者になる必要があります。デフォルトでは、この承認を持つのは root 役割だけです。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
- (オプション)
audit_event ファイルのバックアップコピーを保存します。
# cp /etc/security/audit_event /etc/security/audit_event.orig
-
特定のイベントがどのクラスに属するかを変更するには、イベントの class-list を変更します。
各エントリの書式は次のとおりです。
number:name:description:class-list
- number
-
監査イベント ID。
- name
-
監査イベントの名前。
- description
-
通常、監査レコードの作成を発生させるシステムコールまたは実行可能プログラム。
- class-list
-
コンマ区切りの監査クラスの一覧。
この例では、既存の監査イベントをExample 3–15 で作成された新しいクラスにマップします。デフォルトでは、AUE_PFEXEC 監査イベントは複数の監査クラスにマッピングされます。新しいクラスを作成することによって、管理者は、ほかのクラス内のイベントを監査することなく AUE_PFEXEC イベントを監査できます。
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # grep AUE_PFEXEC /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa # pfedit /etc/security/audit_event #116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)