Como auditar eventos significativos além de login/logout

Language:

Siga esse procedimento para auditar comandos administrativos, acesso ao sistema e outros eventos significativos, conforme especificado pela política de segurança da sua empresa.

Note - Os exemplos neste procedimento podem não ser suficientes para atender à sua política de segurança.

Before You Begin

Você deve assumir a função root. Para obter mais informações, consulte Using Your Assigned Administrative Rights no Securing Users and Processes in Oracle Solaris 11.2 .

Audite todos os usos de comandos com privilégios por parte de usuários que possuem funções e perfis de direitos administrativos.
Adicione a classe de auditoria cusa à máscara pré-selecionada dos usuários.
```
# usermod -K audit_flags=cusa:no username
```
```
# rolemod -K audit_flags=cusa:no rolename
```
As classes de auditoria que a metaclasse cusa inclui são listadas no arquivo /etc/security/audit_class.
Registre os argumentos para comandos auditados.
```
# auditconfig -setpolicy +argv
```
(Optional) Registre o ambiente no qual os comandos auditados são executados.
```
# auditconfig -setpolicy +arge
```
Note - Essa opção de política pode ser útil durante a solução de problemas.

See also

Para obter informações sobre a política de auditoria, consulte Audit Policy no Managing Auditing in Oracle Solaris 11.2 .
Para ver exemplos da definição de sinalizadores de auditoria, consulte a seção Configuring the Audit Service no Managing Auditing in Oracle Solaris 11.2 e Troubleshooting the Audit Service no Managing Auditing in Oracle Solaris 11.2 .
Página man auditconfig(1M)