감사 이벤트의 클래스 멤버쉽을 변경하여 기존 감사 클래스의 크기를 줄이거나 이벤트를 고유의 클래스에 추가할 수 있습니다.
주의 - audit_event 파일에서 이벤트를 주석 처리하지 마십시오. 이 파일은 praudit 명령에서 이진 감사 파일을 읽는 데 사용됩니다. 아카이브된 감사 파일은 파일에 나열된 이벤트를 포함할 수 있습니다. |
한 시스템에서 감사 이벤트-클래스 매핑을 재구성하는 경우 감사하는 모든 시스템에 변경 사항을 복사합니다. 가장 좋은 방법은 첫번째 사용자가 로그인하기 전에 이벤트-클래스 매핑을 변경하는 것입니다.
시작하기 전에
사용자는 solaris.admin.edit/etc/security/audit_event 권한 부여가 지정된 관리자여야 합니다. 기본적으로 root 역할에만 이 권한 부여가 있습니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
# cp /etc/security/audit_event /etc/security/audit_event.orig
각 항목의 형식은 다음과 같습니다.
number:name:description:class-list
감사 이벤트 ID입니다.
감사 이벤트의 이름입니다.
일반적으로 감사 레코드 만들기를 트리거하는 시스템 호출 또는 실행 파일입니다.
쉼표로 구분된 감사 클래스 목록입니다.
이 예에서는 기존 감사 이벤트를 Example 3–15에서 만들어진 새 클래스에 매핑합니다. 기본적으로 AUE_PFEXEC 감사 이벤트는 여러 감사 클래스에 매핑됩니다. 새 클래스를 만들면 관리자는 다른 클래스의 이벤트를 감사하지 않고 AUE_PFEXEC 이벤트를 감사할 수 있습니다.
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # grep AUE_PFEXEC /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa # pfedit /etc/security/audit_event #116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)