创建您自己的审计类时,可以只将需要针对您所在站点审计的审计事件存放到该类中。这一策略可以减少所收集的记录数,并减少审计迹中的无用数据。
在一个系统上添加类时,将此更改复制到正在审计的所有系统中。最佳做法是在第一个用户登录之前创建审计类。
有关修改审计配置文件的效果的信息,请参见审计配置文件和软件包。
开始之前
为您的唯一条目选择空闲位。验证哪些位可供客户在 /etc/security/audit_class 文件中使用。
您必须是指定有 solaris.admin.edit/etc/security/audit_class 授权的管理员。缺省情况下,只有 root 角色具有此授权。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
# cp /etc/security/audit_class /etc/security/audit_class.orig
每一项都具有以下格式:
0x64bitnumber:flag:description
有关字段的说明,请参见 audit_class(4) 手册页。有关现有类的列表,请阅读 /etc/security/audit_class 文件。
本示例创建一个类来保存角色中执行的管理命令。audit_class 文件中添加的项如下所示:
0x0100000000000000:pf:profile command
该条目创建新的 pf 审计类。Example 3–16 显示如何填充新的审计类。
故障排除
如果您定制了 audit_class 文件,请确保直接指定给用户或权限配置文件的任何审计标志与新的审计类一致。audit_flags 值不是 audit_class 文件的子集时发生错误。