一般的な監査ログの生成

以下は、一般的な監査ログ生成の例です。

1. 変更をモニターする重要なファイルのリストをセットアップします。例えば、/etc 内のすべてのファイルをモニターする場合、以下のように、objects ファイル内で FILE_Write イベント用にそれらを構成します。

   find /etc -type f | awk '{printf("%s:¥n¥tw = FILE_Write¥n¥n",$1)}' >> /etc/security/audit/objects

2. auditcat コマンドを使用して、BIN モードの監査をセットアップします。 /etc/security/audit/bincmds ファイルは次のようになります。

   /usr/sbin/auditcat -p -o $trail $bin

3. /etc/security/audit/config ファイルを編集し、必要なイベントのクラスを追加します。既存のユーザーをすべてリストし、それらに custom クラスを指定します。

   start:
           binmode = on
           streammode = off
   
   bin:
           cmds = /etc/security/audit/bincmds
           trail = /audit/trail
           bin1 = /audit/bin1
           bin2 = /audit/bin2
           binsize = 100000
           freespace = 100000
   
   classes:
           custom = FILE_Write,PROC_SetUser,AUD_Bin_Def,AUD_Lost_Rec,USER_SU, ¥
                    PASSWORD_Change,CRON_JobAdd,AT_JobAdd,USER_Login,PORT_Locked
   
   users:
           root = custom
           afx = custom
           ...

4. 新しい ID で正しい監査呼び出しが自動的に関連付けられるように、以下のように、custom 監査クラスを /usr/lib/security/mkuser.default ファイルに追加します。

   user:
       auditclasses = custom
       pgrp = staff
       groups = staff
       shell = /usr/bin/ksh
       home = /home/$USER

5. SMIT または crfs コマンドを使用して、/audit という名前の新しいファイルシステムを作成します。 このファイルシステムには、2 つのビンと大規模な監査証跡を保持するだけの大きさが必要です。
6. audit start コマンド・オプションを実行し、/audit ファイルを検査します。 最初は、2 つのビン・ファイルと空の trail ファイルがあるはずです。 そのシステムをしばらく使用した後で、以下のようにして読み取ることのできる、trail ファイル内の監査レコードができているはずです。

   auditpr  -hhelpPRtTc -v | more