特定のイベントの監査を回避する方法

メンテナンスのために、サイトでイベントが監査されないようにする場合があります。

始める前に

root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

1. イベントのクラスを no クラスに変更します。

   ---

   注 -  監査構成ファイルの変更の影響については、監査構成ファイルとパッケージ化を参照してください。

   ---

   たとえば、イベント 6214 と 6215 は、ユーザー管理の ua クラスに属します。

   ## audit_event file
   ...
   6214:AUE_kadmind_auth:authenticated kadmind request:ua
   6215:AUE_kadmind_unauth:unauthenticated kadmind req:ua
   
   ...

   これらのイベントを no クラスに変更します。

   ## audit_event file
   ...
   6214:AUE_kadmind_auth:authenticated kadmind request:no
   6215:AUE_kadmind_unauth:unauthenticated kadmind req:no
   
   ...

   ua クラスが現在監査中である場合でも、既存のセッションはイベント 6214 および 6215 を監査します。これらのイベントの監査を停止するには、ログインしているユーザーの事前選択マスクを更新する方法の手順に従って、ユーザーの事前選択マスクを更新する必要があります。

   ---

   注意  -  audit_event ファイルではイベントをコメントにしないでください。このファイルは、praudit コマンドがバイナリ監査ファイルを読み取るときに使用します。また、このファイルに一覧表示されたイベントが、保管された監査ファイルに含まれることがあります。

   ---

2. カーネルイベントをリフレッシュします。

   # auditconfig -conf
   Configured 283 kernel events.