如何更改审计事件的类成员身份

语言：

可能需要更改审计事件的类成员身份来减小现有审计类的大小，或者将事件放置在它自己的类中。

注意 - 切勿注释掉 audit_event 中的事件。该文件供 praudit 命令用来读取二进制审计文件。归档审计文件可能包含该文件中列出的事件。

在一个系统上重新配置审计事件到类的映射时，将此更改复制到正在审计的所有系统中。最佳做法是第一个用户登录之前更改事件到类映射。

注 - 有关修改审计配置文件的效果的信息，请参见审计配置文件和软件包。

提示 - 在 Oracle Solaris 中，您可以创建自己的包含文件的软件包，并用您的站点定制文件替换 Oracle Solaris 软件包。当您将软件包中的 preserve 属性设置为 true 时，pkg 子命令（例如 verify、fix、revert，等等）将相对于您的软件包运行。有关更多信息，请参见 pkg(1) 和 pkg(5) 手册页。

开始之前

您必须是指定有 solaris.admin.edit/etc/security/audit_event 授权的管理员。缺省情况下，只有 root 角色具有此授权。有关更多信息，请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。

(u53ef选) 保存 audit_event 文件的备份副本。

# cp /etc/security/audit_event /etc/security/audit_event.orig

通过更改事件的 class-list 来更改特定事件所属的类。
每一项都具有以下格式：
```
number:name:description:class-list
```
number

审计事件 ID。

name

审计事件的名称。

description

通常是触发创建审计记录的系统调用或可执行文件。

class-list

以逗号分隔的审计类列表。

示例 3-16 将现有审计事件映射到新类

本示例中将现有审计事件映射到在Example 3–15 中创建的新类。缺省情况下，AUE_PFEXEC 审计事件映射到多个审计类。通过创建新类，管理员可以审计 AUE_PFEXEC 事件而无需审计其他类中的事件。

# grep pf /etc/security/audit_class
0x0100000000000000:pf:profile command
# grep AUE_PFEXEC /etc/security/audit_event
116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa
# pfedit /etc/security/audit_event
#116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa
116:AUE_PFEXEC:execve(2) with pfexec enabled:pf
# auditconfig -setflags lo,pf
user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)