test

SunSHIELD 基本セキュリティモジュール

監査フラグ

監査フラグは監査対象となるイベントのクラスを示します。マシン全体で有効な監査関連のデフォルト値は、audit_control ファイル内のフラグによって各マシン上のすべてのユーザ用に指定されます。 詳細については、audit_controlファイル 」を参照して下さい。

システム管理者は、監査フラグを audit_user ファイルにあるユーザエントリに入れることにより、各ユーザに対して監査を行う対象を修正できます。また、監査フラグは、auditconfig コマンドの引数として使用できます (auditconfig(1M) のマニュアルページを参照)。

監査フラグの定義

表 2-2 に、事前に定義されている各監査クラスの監査フラグ (これはクラスを表す短縮名です)、ロング名、および説明を示します。システム管理者は、監査構成ファイル内の監査クラスを使用して、監査の対象となるイベントのクラスを指定します。audit_classファイルを修正することにより、クラスの定義を追加したり、クラス名を変更したりできます (audit_class(4) のマニュアルページを参照)。

表 2-2 監査クラス

短縮名 

ロング名 

短い説明 

no

no_class

イベントの事前選択をオフにするためのヌル値

fr

file_read

データの読み取り、読み取りのためのオープンなど 

fw

file_write

データの書き込み、書き込みのためのオープンなど 

fa

file_attr_acc

オブジェクト属性へのアクセス : statpathconf など

fm

file_attr_mod

オブジェクト属性の変更 : chownflock など

fc

file_creation

オブジェクトの作成 

fd

file_deletion

オブジェクトの削除 

cl

file_close

close システムコール

pc

process

プロセスの操作 : forkexecexit など

nt

network

ネットワークイベント: bindconnectaccept など

ip

ipc

System V の IPC 操作

na

non_attrib

ユーザが原因ではないイベント 

ad

administrative

管理的な操作 

lo

login_logout

ログインとログアウトのイベント 

ap

application

アプリケーションが定義するイベント 

io

ioctl

ioctl システムコール

ex

exec

プログラムの実行 

ot

other

その他 

all

all

全フラグのセット

監査フラグの構文

イベントのクラスは、付けられている接頭辞に応じて、成功したか失敗したかについて、成功した場合のみ、または、失敗した場合のみ、監査を行うことができます。監査フラグの構文は次のとおりです。

prefixflag

次の表に、成功した場合も失敗した場合も監査する接頭辞、成功した場合のみ、または失敗した場合のみ監査する接頭辞をそれぞれ示します。

表 2-3 監査フラグに使用する接頭辞

接頭辞 

意味 

なし

成功と失敗の両方の場合に監査する 

+

成功の場合のみ監査する 

-

失敗の場合のみ監査する 

これらの監査フラグがどのように連動するかという例として、lo を考えてみます。これは「ログインとログアウトの成功した場合すべて、および、ログインの失敗した場合すべて」を意味する監査フラグです (ログアウトに失敗することはありません)。別の例としては、-all は失敗したすべての種類の試みを意味し、+all は成功したすべての種類の試みを意味します。

注意 - 注意 -

allフラグは大量のデータを生成し、すぐに監査ファイルシステムをいっぱいにします。したがってこのフラグは、すべてを監査しなければならない特別な理由がある場合にのみ使用してください。

設定済みの監査フラグを変更する接頭辞

次の接頭辞を 3 つの方法のいずれかで使用します。つまり、すでに指定されているフラグを変更する場合に、audit_control ファイル内のflags 行を使用するか、audit_user ファイル内のユーザエントリの flags を使用するか、または auditconfig を使用して、監査フラグを変更します (auditconfig(1M) のマニュアルページを参照)。

次の表に示す接頭辞を監査クラスの短縮名とともに使用して、指定済みの監査クラスをオンまたはオフにします。これらの接頭辞は、指定済みのフラグのみをオンまたはオフにします。

表 2-4 指定済みの監査フラグを変更する接頭辞

接頭辞 

意味 

^-

失敗した試みに対する監査をオフにする 

^+

成功した試みに対する監査をオフにする

^

成功した試みと失敗した試みの両方に対して監査をオフにする 

^- 接頭辞は、次の例のように audit_control ファイルの flags 行で使用します。

次の例では、lo フラグ と ad フラグが、すべてのログインと管理的な操作について成功と失敗の両方の場合に、監査することを指定しています。-all は「失敗したすべてのイベント」を監査することを意味します。^- 接頭辞は「指定したクラスの、失敗した試みについての監査をオフにする」ため、^-fc フラグは、失敗したすべてのイベントの監査を指定した以前のフラグを変更します。したがって、この 2 つのフィールドを合わせると、「ファイルシステムオブジェクトの作成に失敗した試みを除けば、失敗したイベントをすべて監査する」ことを意味します。 


flags:lo,ad,-all,^-fc