Solaris 11を使用したBSM監査の有効化

Solaris 11では、監査はデフォルトで有効になっていますが、デフォルトでモニターされるのはユーザーのログイン/ログアウトのみです。OSファイルの変更イベントとOSユーザーのログイン/ログアウトの両方のモニタリングについては、ルート権限で次のコマンドを実行できます。

/usr/sbin/auditconfig -setflags fw,fd,fc,fm,fr,lo

構成フラグの意味は、最後のセクションで定義されているものと同じです。

ノート:

この構成は、ユーザーがすでにホストにログインしている既存のセッションには影響しないため、既存のセッションをすべて終了してから再度ログインするかマシンをそのまま再起動し、この変更を有効にする必要があります。

Solaris 11ではbsmconvコマンドが取り除かれているため、必要な場合、次のコマンドを使用して監査機能を有効にすることができます。

audit -s