既存の監査クラスのサイズを減らしたり、独自のクラスにイベントを入れたりするために、監査イベントのクラスメンバーシップを変更できます。
![]() | 注意 - audit_event ファイルではイベントをコメントにしないでください。このファイルは、praudit コマンドがバイナリ監査ファイルを読み取るときに使用します。また、このファイルに一覧表示されたイベントが、保管された監査ファイルに含まれることがあります。 |
1 つのシステム上で監査イベントからクラスへのマッピングを再構成した場合は、その変更を、監査されているすべてのシステムにコピーします。ベストプラクティスとして、最初のユーザーがログインする前に、イベントからクラスへのマッピングを変更してください。
始める前に
solaris.admin.edit/etc/security/audit_event 承認が割り当てられている管理者になる必要があります。デフォルトでは、この承認を持つのは root 役割だけです。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
# cp /etc/security/audit_event /etc/security/audit_event.orig
各エントリの書式は次のとおりです。
number:name:description:class-list
監査イベント ID。
監査イベントの名前。
通常、監査レコードの作成を発生させるシステムコールまたは実行可能プログラム。
コンマ区切りの監査クラスの一覧。
この例では、既存の監査イベントをExample 3–15 で作成された新しいクラスにマップします。デフォルトでは、AUE_PFEXEC 監査イベントは複数の監査クラスにマッピングされます。新しいクラスを作成することによって、管理者は、ほかのクラス内のイベントを監査することなく AUE_PFEXEC イベントを監査できます。
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # grep AUE_PFEXEC /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa # pfedit /etc/security/audit_event #116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)