고유의 감사 클래스를 만들 때 해당 사이트에 대해 감사하고자 하는 감사 이벤트를 추가하면 됩니다. 이 전략은 수집되는 레코드 수를 줄이고 감사 추적의 노이즈를 줄일 수 있습니다.
한 시스템에서 클래스를 추가하는 경우 감사하는 모든 시스템에 변경 사항을 복사합니다. 가장 좋은 방법은 첫번째 사용자가 로그인하기 전에 감사 클래스를 만드는 것입니다.
감사 구성 파일 수정의 영향에 대한 자세한 내용은 감사 구성 파일 및 패키징을 참조하십시오.
시작하기 전에
고유 항목에 대한 여유 비트를 선택합니다. 고객이 사용 가능한 비트를 /etc/security/audit_class 파일에서 확인합니다.
사용자는 solaris.admin.edit/etc/security/audit_class 권한 부여가 지정된 관리자여야 합니다. 기본적으로 root 역할에만 이 권한 부여가 있습니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
# cp /etc/security/audit_class /etc/security/audit_class.orig
각 항목의 형식은 다음과 같습니다.
0x64bitnumber:flag:description
필드에 대한 설명은 audit_class(4) 매뉴얼 페이지를 참조하십시오. 기존 클래스 목록은 /etc/security/audit_class 파일을 참조하십시오.
이 예에서는 역할에서 실행되는 관리 명령을 포함하는 클래스를 만듭니다. audit_class 파일에 추가된 항목은 다음과 같습니다.
0x0100000000000000:pf:profile command
항목은 새 pf 감사 클래스를 만듭니다. Example 3–16은 새로운 감사 클래스를 채우는 방법을 보여줍니다.
문제 해결
audit_class 파일을 사용자 정의한 경우 사용자 또는 권한 프로파일에 직접 지정된 감사 플래그가 새 감사 클래스와 일관성이 있는지 확인합니다. audit_flags 값이 audit_class 파일의 일부가 아닌 경우 오류가 발생합니다.