각 감사 이벤트는 감사 클래스에 속합니다. 감사 클래스는 많은 수의 감사 이벤트에 대한 편리한 컨테이너입니다. 감사할 클래스를 사전 선택할 경우 해당 클래스의 모든 이벤트가 감사 대기열에 기록됩니다. 예를 들어, ps 감사 클래스를 사전 선택하면 execve(), fork() 및 기타 시스템 호출이 기록됩니다.
시스템의 이벤트 또는 특정 사용자가 시작한 이벤트에 대해 사전 선택할 수 있습니다.
시스템 전역 사저 선택 – auditconfig 명령에 –setflags 및 –setnaflags 옵션을 사용하여 감사에 대한 시스템 전역 기본값을 지정합니다.
사용자 특정 사전 선택 – 사용자에 대한 감사 플래그를 구성하여 개별 사용자에 대해 시스템 전역 감사 기본값과 다르게 지정합니다. useradd, roleadd, usermod 및 rolemod 명령은 user_attr 데이터베이스에 audit_flags 보안 속성을 추가합니다. profiles 명령은 prof_attr 데이터베이스에 권한 프로파일에 대한 감사 플래그를 추가합니다.
감사 사전 선택 마스크는 사용자에 대해 감사되는 이벤트의 클래스를 결정합니다. 사용자 사전 선택 마스크에 대한 설명은 프로세스 감사 특성을 참조하십시오. 사용되는 구성된 감사 플래그는 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 권한 검색 순서를 참조하십시오.
감사 클래스는 /etc/security/audit_class 파일에 정의되어 있습니다. 각 항목은 클래스에 대한 감사 마스크, 클래스에 대한 이름 및 클래스에 대한 설명을 포함합니다. 예를 들어, lo 및 ps 클래스 정의는 audit_class 파일에 다음과 같이 나타납니다.
0x0000000000001000:lo:login or logout 0x0000000000100000:ps:process start/stop
감사 클래스에는 all 및 no의 두 전역 클래스가 포함됩니다. 감사 클래스에 대한 설명은 audit_class(4) 매뉴얼 페이지를 참조하십시오. 클래스 목록은 /etc/security/audit_class 파일을 검토하십시오.
클래스에 대한 감사 이벤트 매핑은 구성 가능합니다. 클래스에서 이벤트를 제거하거나 클래스에 이벤트를 추가하고, 선택한 특정 이벤트에 대해 새 클래스를 만들 수 있습니다. 절차는 감사 이벤트의 클래스 멤버쉽을 변경하는 방법을 참조하십시오. 클래스에 매핑된 이벤트를 보려면 auditrecord -c class 명령을 사용합니다.