RE: Аудит в AIX


Главная Форумы POWER Systems AIX/Hardware Аудит в AIX RE: Аудит в AIX

#2968

andrewk
Участник

/etc/security/audit/events:

* fork()
PROC_Create = printf «forked child process %d»

* exit()
PROC_Delete = printf «exited child process %d, rc: %d, filename: %s»

* exec()
PROC_Execute = printf «euid: %d egid: %d epriv: %x:%x name %s»

* exec() of a large page data process
PROC_LPExecute = printf «euid: %d egid: %d epriv: %x:%x name %s»

* kill()
PROC_Kill = printf «pid: %d, sig: %d»

/etc/security/audit/config:
kernel = PROC_Create,PROC_Delete,PROC_Execute,PROC_RealUID,PROC_AuditID,PROC_RealGID,PROC_Environ,PROC_SetSig
nal,PROC_Limits,PROC_SetPri,PROC_Setpri,PROC_Privilege,PROC_Settimer

chuser auditclasses=kernel username

mkitab «audit:2:once:/usr/sbin/audit start 1>&- 2>&-1»