可能需要更改审计事件的类成员身份来减小现有审计类的大小,或者将事件放置在它自己的类中。
![]() | 注意 - 切勿注释掉 audit_event 中的事件。该文件供 praudit 命令用来读取二进制审计文件。归档审计文件可能包含该文件中列出的事件。 |
在一个系统上重新配置审计事件到类的映射时,将此更改复制到正在审计的所有系统中。最佳做法是第一个用户登录之前更改事件到类映射。
开始之前
您必须是指定有 solaris.admin.edit/etc/security/audit_event 授权的管理员。缺省情况下,只有 root 角色具有此授权。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
# cp /etc/security/audit_event /etc/security/audit_event.orig
每一项都具有以下格式:
number:name:description:class-list
审计事件 ID。
审计事件的名称。
通常是触发创建审计记录的系统调用或可执行文件。
以逗号分隔的审计类列表。
本示例中将现有审计事件映射到在Example 3–15 中创建的新类。缺省情况下,AUE_PFEXEC 审计事件映射到多个审计类。通过创建新类,管理员可以审计 AUE_PFEXEC 事件而无需审计其他类中的事件。
# grep pf /etc/security/audit_class 0x0100000000000000:pf:profile command # grep AUE_PFEXEC /etc/security/audit_event 116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa # pfedit /etc/security/audit_event #116:AUE_PFEXEC:execve(2) with pfexec enabled:ps,ex,ua,as,cusa 116:AUE_PFEXEC:execve(2) with pfexec enabled:pf # auditconfig -setflags lo,pf user default audit flags = pf,lo(0x0100000000001000,0x0100000000001000)