独自の監査クラスを作成すると、サイトで監視する監査イベントだけをそのクラスに入れることができます。この方法により、収集されるレコード数を削減し、さらに監査トレール内のノイズも削減することができます。
1 つのシステム上でクラスを追加した場合は、監査されているすべてのシステムにその変更をコピーします。ベストプラクティスとして、最初のユーザーがログインする前に監査クラスを作成してください。
監査構成ファイルの変更の影響については、監査構成ファイルとパッケージ化を参照してください。
始める前に
一意のエントリのための空きビットを上位 8 ビットで選択します。顧客がどのビットを使用できるかを /etc/security/audit_class ファイルで確認します。
solaris.admin.edit/etc/security/audit_class 承認が割り当てられている管理者になる必要があります。デフォルトでは、この承認を持つのは root 役割だけです。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
# cp /etc/security/audit_class /etc/security/audit_class.orig
各エントリの書式は次のとおりです。
0x64bitnumber:flag:description
各フィールドについては、audit_class(4) のマニュアルページを参照してください。既存のクラスの一覧については、/etc/security/audit_class ファイルを参照してください。
この例では、ある役割で実行される管理コマンドを保持するためのクラスを作成します。audit_class ファイルに追加されるエントリは次のとおりです。
0x0100000000000000:pf:profile command
このエントリによって、新しい pf 監査クラスが作成されます。使用例 16は、新しい監査クラスを生成する方法を示しています。
トラブルシューティング
audit_class ファイルをカスタマイズした場合は、ユーザーまたは権利プロファイルに直接割り当てられている監査フラグがすべて、新しい監査クラスと整合性がとれていることを確認してください。audit_flags 値が audit_class ファイルのサブセットでない場合は、エラーが発生します。