감사 이벤트의 클래스 멤버쉽을 변경하는 방법
감사 이벤트의 클래스 멤버쉽을 변경하여 기존 감사 클래스의 크기를 줄이거나 이벤트를 고유의 클래스에 추가할 수 있습니다.
 | 주의 - audit_event 파일에서 이벤트를 주석 처리하지 마십시오. 이 파일은 praudit 명령에서 이진 감사 파일을 읽는 데 사용됩니다. 아카이브된 감사 파일은 파일에 나열된 이벤트를 포함할 수 있습니다. |
한 시스템에서 감사 이벤트-클래스 매핑을 재구성하는 경우 감사하는 모든 시스템에 변경 사항을 복사합니다. 가장 좋은 방법은 첫번째 사용자가 로그인하기 전에 이벤트-클래스 매핑을 변경하는 것입니다.
팁 - Oracle Solaris에서는 파일이 포함된 고유한 패키지를 만들고 사이트에서 사용자 정의한 파일로 Oracle Solaris 패키지를 바꿀 수 있습니다. 패키지에서 preserve 속성을 true로 설정하면 pkg 하위 명령(예: verify, fix, revert 등)이 사용자의 패키지를 기반으로 실행됩니다. 자세한 내용은 pkg(1) 및 pkg(5) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
사용자는 solaris.admin.edit/etc/security/audit_event 권한 부여가 지정된 관리자여야 합니다. 기본적으로 root 역할에만 이 권한 부여가 있습니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
- (옵션)
audit_event 파일의 백업 복사본을 저장합니다.
# cp /etc/security/audit_event /etc/security/audit_event.orig
-
이벤트의 class-list를 변경하여 특정 이벤트가 속한 클래스를 변경합니다.
각 항목의 형식은 다음과 같습니다.
number:name:description:class-list
- number
-
감사 이벤트 ID입니다.
- name
-
감사 이벤트의 이름입니다.
- description
-
일반적으로 감사 레코드 만들기를 트리거하는 시스템 호출 또는 실행 파일입니다.
- class-list
-
쉼표로 구분된 감사 클래스 목록입니다.
이 예에서는 기존 감사 이벤트를 Example 3–15에서 만들어진 새 클래스에 매핑합니다. 기본적으로 AUE_PFEXEC 감사 이벤트는 여러 감사 클래스에 매핑됩니다. 새 클래스를 만들면 관리자는 다른 클래스의 이벤트를 감사하지 않고 AUE_PFEXEC 이벤트를 감사할 수 있습니다.
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # grep AUE_PFEXEC /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa # pfedit /etc/security/audit_event #116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)