감사 이벤트는 시스템에서 감사 가능한 작업을 나타냅니다. 감사 이벤트는 /etc/security/audit_event 파일에 나열됩니다. 각 감사 이벤트는 시스템 호출 또는 사용자 명령에 연결되고, 하나 이상의 감사 클래스에 지정됩니다. audit_event 파일의 형식에 대한 설명은 audit_event(4) 매뉴얼 페이지를 참조하십시오.
예를 들어, AUE_EXECVE 감사 이벤트는 execve() 시스템 호출을 감사합니다. auditrecord -e execve 명령은 이 항목을 표시합니다.
# auditrecord -e execve execve system call execve See execve(2) event ID 23 AUE_EXECVE class ps,ex (0x0000000040100000) header path [attribute] omitted on error [exec_arguments] output if argv policy is set [exec_environment] output if arge policy is set subject [use_of_privilege] return
감사 클래스 ps 또는 감사 클래스 ex를 사전 선택할 경우 모든 execve() 시스템 호출이 감사 대기열에 기록됩니다.
감사는 attributable 및 non-attributable 이벤트를 처리합니다. 감사 정책은 다음과 같이 이벤트를 synchronous 및 asynchronous 이벤트로 나눕니다.
지정 가능한 이벤트 – 사용자에게 지정할 수 있는 이벤트입니다. execve() 시스템 호출은 사용자에게 지정할 수 있으므로 호출이 지정 가능한 이벤트로 간주됩니다. 모든 지정 가능한 이벤트는 동기 이벤트입니다.
지정 불가능한 이벤트 – 커널 인터럽트 레벨에서 발생하거나 사용자가 인증되기 전에 발생하는 이벤트입니다. na 감사 클래스는 지정 불가능한 감사 이벤트를 처리합니다. 예를 들어, 시스템 부트는 지정 불가능한 이벤트입니다. 대부분의 지정 불가능한 이벤트는 비동기 이벤트입니다. 하지만 실패한 로그인과 같이 연결된 프로세스가 있는 지정 불가능한 이벤트는 동기 이벤트입니다.
동기 이벤트 – 시스템의 프로세스와 연결된 이벤트입니다. 시스템 이벤트의 대부분은 동기 이벤트입니다.
비동기 이벤트 – 프로세스와 연결되지 않아 차단했다가 나중에 시작할 수 있는 프로세스가 없는 이벤트입니다. 초기 시스템 부트 및 PROM 진입/종료 이벤트가 비동기 이벤트의 예입니다.
감사 서비스에서 정의한 감사 이벤트 이외에 타사 응용 프로그램에서 감사 이벤트를 생성할 수 있습니다. 감사 이벤트 번호 32768부터 65535까지 타사 응용 프로그램에 대해 사용할 수 있습니다. 공급업체는 Oracle Solaris 담당자에게 연락하여 이벤트 번호를 예약하고 감사 인터페이스에 대한 액세스 권한을 얻어야 합니다.