プロセスの監査特性

はじめてログインするときに次の監査特性が設定されます。

• プロセス事前選択マスク

• 監査 ID

• 監査セッション ID

• 端末セッション ID (ポート ID、マシン ID)

プロセス事前選択マスク

ユーザがログインするときには、login により、 audit_control ファイルにあるマシン全体の監査フラグが audit_user ファイルにあるユーザ固有の監査フラグ (もしあれば) と組み合わされ、そのユーザのプロセスに使用するプロセス事前選択マスクが確立されます。プロセス事前選択マスクは、各監査イベントクラス内のイベントで監査レコードを生成させるかどうかを指定します。

プロセス事前選択マスクを取得するアルゴリズムは次のとおりです。つまり、audit_control ファイル内の flags: 行にある監査フラグが、audit_userファイル内のユーザエントリの always-audit フィールドにあるフラグに追加されます。audit_user ファイル内のユーザエントリの never-audit フィールドは、このときに合計から差し引かれます。

ユーザのプロセス事前選択マスク = (flags: 行 + always audit フラグ) - never audit フラグ

監査 ID

ユーザがログインすると、プロセスはまた、ユーザの監査 ID を取得し、この監査 ID はユーザの初期プロセスが起動するすべての子プロセスに継承されます。監査 ID はアカウントの追跡を強制するのにも役立ちます。ユーザが root になった後も、監査 ID は変わらずそのまま残ります。各監査レコード内に保存された監査 ID を使用すると、管理者はいつでも動作を追跡してログインした元のユーザまでたどることができます。

監査セッション ID

監査セッション ID はログイン時に割り当てられ、すべての子孫プロセスに継承されます。

端末 ID　

端末 ID は、ホスト名とインターネットアドレスからなり、その後にユーザがログインした物理デバイスを識別する固有の番号が続きます。通常、ログインはコンソールから行われ、そのコンソールデバイスに対応する番号は 0 になります。