목적이 /etc/passwd 및 /etc/default 디렉토리의 파일과 같이 제한된 수의 파일에 대한 파일 쓰기를 기록하는 것이라면 auditreduce 명령을 사용하여 파일을 찾을 수 있습니다.
시작하기 전에
root 역할은 이 절차의 모든 작업을 수행할 수 있습니다.
관리 권한이 조직에 분산되어 있는 경우 다음을 참조하십시오.
Audit Configuration 권한 프로파일이 있는 관리자는 auditconfig 명령을 실행할 수 있습니다.
Audit Review 권한 프로파일이 있는 관리자는 auditreduce 명령을 실행할 수 있습니다.
root 역할만 감사 플래그를 지정할 수 있습니다.
자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
fw 클래스를 감사합니다.
사용자나 역할의 감사 플래그에 fw 클래스를 추가하면 시스템 전역 감사 사전 선택 마스크에 클래스를 추가할 때보다 적은 레코드가 생성됩니다. 다음 단계 중 하나를 수행합니다.
fw 클래스를 특정 역할에 추가합니다.
# rolemod -K audit_flags=fw:no root # rolemod -K audit_flags=fw:no sysadm # rolemod -K audit_flags=fw:no auditadm # rolemod -K audit_flags=fw:no netadm
fw 클래스를 시스템 전역 플래그에 추가합니다.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,fw user default audit flags = lo,fw(0x1002,0x1002)
성공한 파일 쓰기를 감사합니다.
성공을 감사하면 실패 및 성공을 감사할 때보다 적은 레코드가 생성됩니다. 다음 단계 중 하나를 수행합니다.
+fw 플래그를 특정 역할에 추가합니다.
# rolemod -K audit_flags=+fw:no root # rolemod -K audit_flags=+fw:no sysadm # rolemod -K audit_flags=+fw:no auditadm # rolemod -K audit_flags=+fw:no netadm
+fw 플래그를 시스템 전역 플래그에 추가합니다.
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000) # auditconfig -setflags lo,+fw user default audit flags = lo,+fw(0x1002,0x1000)
# auditreduce -o file=/etc/passwd,/etc/default -O filechg
auditreduce 명령은 file 인수의 모든 인스턴스에 대한 감사 추적을 검색합니다. 명령은 관심 파일의 경로가 포함된 모든 레코드를 포함하는 filechg 접미어의 이진 파일을 만듭니다. –o file= pathname 옵션의 구문은 auditreduce(1M) 매뉴얼 페이지를 참조하십시오.
# praudit *filechg