在 Oracle® Solaris 11.2 中管理审计

退出打印视图

 
更新时间: 2014 年 7 月
 
 

如何阻止审计特定事件

出于维护目的,有时某个站点需要阻止对事件进行审计。

开始之前

您必须承担 root 角色。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限

  1. 将相关事件的类更改为 no 类。
    注 -  有关修改审计配置文件的效果的信息,请参见审计配置文件和软件包

    例如,事件 26 和 27 属于 pm 类。

    ## audit_event file
...
25:AUE_VFORK:vfork(2):ps
26:AUE_SETGROUPS:setgroups(2):pm
27:AUE_SETPGRP:setpgrp(2):pm
28:AUE_SWAPON:swapon(2):no
...

    将这些事件更改为 no 类。

    ## audit_event file
...
25:AUE_VFORK:vfork(2):ps
26:AUE_SETGROUPS:setgroups(2):no
27:AUE_SETPGRP:setpgrp(2):no
28:AUE_SWAPON:swapon(2):no
...

    如果当前正在审计 pm 类,现有会话仍将审计事件 26 和 27。要停止审计这些事件,必须遵循如何更新已登录用户的预选掩码中的说明更新用户的预选掩码。

    Caution

    注意  -  切勿注释掉 audit_event 中的事件。该文件供 praudit 命令用来读取二进制审计文件。归档审计文件可能包含该文件中列出的事件。

  2. 刷新内核事件。 
    # auditconfig -conf
Configured 283 kernel events.
版权所有 © 2002, 2014, Oracle 和/或其附属公司。 保留所有权利。 法律声明
上一页
下一页