この付録は 2 部に分かれています。第 1 部では監査レコード構造の各部分と各監査トークンの構造について説明します。第 2 部では、基本セキュリティモジュールによって生成されるすべての監査レコードをイベント記述別に定義します。
監査レコードは、一連の監査トークンです。監査トークンには、ユーザ ID、時刻、日付などのイベント情報が入っています。header トークンは監査レコードで始まり、省略可能なトレーラで終わります。他の監査トークンには、監査関連情報が入っています。表 A-1 は典型的な監査レコードを示しています。
論理上、各トークンにはトークンタイプ識別子とそれに続くトークン固有のデータが付いています。各トークンタイプには固有の形式と構造があります。表 A-1 は現在のトークンを示しています。トークンのスキーマは拡張できます。
表 A-1 基本セキュリティモジュールの監査トークン
トークン名 |
記述 |
---|---|
acl |
アクセス制御リスト情報 |
arbitrary |
形式情報と型情報が付いたデータ |
arg |
システムコールの引数値 |
attr |
V ノードトークン |
exec_args |
Exec システムコールの引数 |
exec_env |
Exec システムコールの環境変数 |
exit |
プログラム終了情報 |
file |
監査ファイル情報 |
groups |
プロセスグループ情報 (使用しません) |
header |
レコードの始まりを示す |
in_addr |
インターネットアドレス |
ip |
IP ヘッダ情報 |
ipc |
System V IPC 情報 |
ipc_perm |
System V IPC オブジェクトトークン |
iport |
インターネットポートアドレス |
newgroups |
プロセスグループ情報 |
opaque |
構造化されていないデータ (形式が未指定) |
path |
パス情報 (パス) |
process |
プロセストークン情報 |
return |
システムコールの状態 |
seq |
シーケンス番号トークン |
socket |
ソケットのタイプとアドレス |
socket-inet |
ソケットのポートとアドレス |
subject |
サブジェクトトークン情報 (process トークンと同じ構造) |
text |
ASCII 文字列 |
trailer |
レコードの終わりを示す |
監査レコードには、必ず header トークンが入っています。header トークンは、監査トレール内で監査レコードの始まりを示します。ユーザの動作に帰因しないイベントからの監査レコードを除き、どの監査レコードにも subject トークンが入っています。ユーザに帰因するイベントの場合、この 2 つのトークンはイベントを引き起こしたプロセスの値を参照します。非同期イベントの場合、process トークンはシステムを参照します。
acl トークンは ACL に関する情報を記録するもので、 4 つの固定長フィールドからなります。このトークンが acl であることを示すトークン ID フィールド、ACL のタイプを表わすフィールド、ACL ID フィールド、およびこの ACL に関連したアクセス権を表わすフィールドです。形式は次のとおりです。
arbitrary トークンは、監査トレール用にデータをカプセル化します。このトークンは 4 つの固定長フィールドと 1 つのデータ配列からなっています。固定長フィールドは、このトークンを arbitrary トークンとして識別するトークン ID、推奨形式フィールド (16 進など)、カプセル化されるデータのサイズを指定するサイズフィールド (短い形式など)、後続の項目数を示すカウントフィールドの 4 つです。トークンの残りの部分は、指定された型の 1 つまたは複数の項目からなっています。arbitrary トークンは次のようになっています。
出力形式フィールドには、表 A-2 のような値を入れることができます。
表 A-2 arbitrary トークンの出力形式フィールドの値
値 |
動作 |
---|---|
AUP_BINARY |
日付が 2 進形式で出力される |
AUP_OCTAL |
日付が 8 進形式で出力される |
AUP_DECIMAL |
日付が 10 進形式で出力される |
AUP_HEX |
日付が 16 進形式で出力される |
AUP_STRING |
日付が文字列で出力される |
項目サイズフィールドには、表 A-3 のような値を入れることができます。
表 A-3 arbitrary トークンの項目サイズフィールドの値
値 |
動作 |
---|---|
AUR_BYTE |
データはバイト数単位 (1 バイト) |
AUR_SHORT |
データは短い形式の単位 (2 バイト) |
AUR_LONG |
データは長い形式の単位 (4 バイト) |
arg トークンには、システムコールの引数の数、引数の値、省略可能な記述テキスト文字列など、システムコールの引数情報が入っています。このトークンを使用すると、監査レコード内で 32 ビット整数のシステムコール引数を指定できます。arg トークンには 5 つのフィールドがあります。このトークンを arg トークンとして識別するトークン ID、システムコールにトークンの参照先となる引数を指示する引数 ID、引数の値、記述テキスト文字列の長さ、テキスト文字列の 5 つです。図 A-4 はトークンの形式を示しています。
attr トークンには、ファイル v ノードからの情報が入っています。このトークンには 7 つのフィールドがあります。このトークンを attr トークンとして識別するトークン ID、ファイルのアクセスモードとタイプ、所有者ユーザ ID、所有者グループ ID、ファイルシステム ID、i ノード ID、ファイルが表すデバイス ID の 7 つです。ファイルシステム ID とデバイス ID について詳しくは、statvfs(2) のマニュアルページを参照してください。一般に、このトークンには path トークンが付いており、パスの検索中に生成されます。パス検索エラーが発生すると、必要なファイル情報を取得するために利用できる v ノードがないので、このトークンは監査レコードの一部として組み込まれません。図 A-5 は、attr トークンの形式を示しています。
exec_args トークンは、exec システムコールへの引数を記録します。exec_args レコードには、2 つの固定長フィールドがあります。一方は、これを exec_args トークンとして識別するトークン ID フィールドです。他方は、exec コールに渡される引数の数を表すカウントフィールドです。トークンの残りの部分は、0 個以上の NULL で終わる文字列からなっています。図 A-6 は、exec_args トークンを示します。
exec_args トークンは、監査方針 argv が有効なときにのみ出力されます。詳しくは、「監査方針の設定」を参照してください。
exec_env トークンは、exec システムコールの現在の環境変数を記録します。exec_env レコードには 2 つの固定長フィールドがあります。一方は、これを exec_env トークンとして識別するトークン ID です。他方は、exec コールに渡される引数の数を表すカウントフィールドです。トークンの残りの部分は、0 個以上の NULL で終わる文字列からなっています。図 A-7 は、exec_env トークンを示しています。
exec_env トークンは、監査方針 arge が有効なときにのみ出力されます。詳しくは、「監査方針の設定」を参照してください。
exit トークンは、プログラムの終了状態を記録します。exit トークンには、プログラムの終了状態と戻り値が入っています。状態フィールドは exit システムコールに渡されるものと同じです。戻り値フィールドは、システムのエラー番号、または終了状態を詳細に記述する戻り値を示します。図 A-8 は、exit トークンを示しています。
file トークンは、新しい監査トレールファイルの始まりと無効になる古いファイルの終わりをマークするために、監査デーモンによって生成される特殊なトークンです。監査デーモンは、このトークンが入った特殊な監査レコードを構築して、連続する監査ファイルを 1 つの監査トレールに「リンク」します。file トークンには 4 つのフィールドがあります。第 1 はこれを file トークンとして識別するトークン ID、第 2 はファイルが作成されるかクローズされた時刻を示す日時のスタンプ、第 3 は NULL で終わる文字列を含むファイル名のバイト数、第 4 は NULL で終わる名前が入ったフィールドです。 図 A-9 は file トークンを示しています。
このトークンは、newgroups トークンに置き換えられています。newgroups トークンは同じタイプの情報をわずかな領域で提供します。ここでは完全を期すために groups トークンについて説明しますが、アプリケーション設計者は newgroups トークンを使用する必要があります。ASCII 形式の出力が表示されるときには、どちらのトークン ID にも groups というラベルが付いているため、praudit はこの 2 つのトークンを区別しないので注意してください。
groups トークンは、プロセスの資格からグループのエントリを記録します。groups トークンには 2 つの固定長フィールドがあります。一方は、これを groups トークンとして識別するトークン ID で、他方はこの監査レコードに入っているグループの数を表すカウントです。図 A-10 は groups トークンを示しています。
groups トークンは、監査方針 group が有効なときにのみ出力されます。詳しくは、「auditconfig コマンド」を参照してください。
header トークンは、監査レコードの始まりをマークし、trailer トークンとの組み合わせでレコード内の他のすべてのトークンを囲むという点で特殊です。header トークンには 6 つのフィールドがあります。これを header トークンとして識別するトークン ID フィールド、ヘッダとトレーラを含めた監査レコードの長さ合計を示すバイト数、監査レコード構造のバージョンを識別するバージョン番号、レコードが表す監査イベントのタイプを識別する監査イベント ID、イベントのタイプに関する補助記述情報が入ったイベント ID 修飾子、レコードの作成日時の 6 つです。図 A-11 は header トークンを示しています。
イベント修飾子フィールドでは、次のフラグが定義されています。
0x4000 PAD_NOTATTR nonattributable event 0x8000 PAD_FAILURE fail audit event
Solaris 7 リリースでは、header トークンを、32 ビットタイムスタンプではなく 64 ビットタイムスタンプで表示できます。
in_addr トークンには、インターネットアドレスが入っています。この 4 バイト値はインターネットプロトコルアドレスです。このトークンには 2 つのフィールドがあります。一方はこのトークンを in_addr トークンとして識別するトークン ID で、他方はインターネットアドレスです。図 A-12 は in_addr トークンを示しています。
Solaris 8 リリースでは、インターネットアドレスは、4 バイトを使用し、IPv4 アドレスとして表示できます。または、型に 16 バイト、アドレスに 16 バイトを使用すれば、IPv6 アドレスとして表示できます。
ip トークンには、インターネットプロトコルのヘッダのコピーが入っていますが、IP オプションは含まれていません。IP オプションは、トークン内の IP ヘッダ数を増やせば追加できます。このトークンには 2 つのフィールドがあります。一方はこれを ip トークンとして識別するトークン ID で、他方は IP ヘッダ (すべて 20 バイト) のコピーです。IP ヘッダ構造は、/usr/include/netinet/ip.h 内で定義されています。図 A-13 は ip トークンを示しています。
ipc トークンには、呼び出し元で特定の IPC オブジェクトを識別するための System V IPC メッセージ/セマフォ/共有メモリハンドルが入っています。このトークンには 3 つのフィールドがあります。第 1 はこれを ipc トークンとして識別するトークン ID、第 2 は IPC オブジェクトのタイプを指定するタイプフィールド、第 3 は IPC オブジェクトを識別するハンドルです。図 A-14 は ipc トークンを示しています。
IPC オブジェクト識別子は Solaris CMW 監査トークンのコンテキストに依存しない性質に違反しています。IPC オブジェクトを一意に識別するグローバルな「名前」はありません。代わりに、IPC オブジェクトが使用可能な間だけ有効なハンドルで識別されます。System V の IPC メカニズムはあまり使用されず、すべてが同じ監査クラスを共有するので、識別は問題ではないはずです。
IPC オブジェクトタイプフィールドには、表 A-4 のような値が入っています。値は /usr/include/bsm/audit.h 内で定義されます。
表 A-4 IPC オブジェクトタイプフィールド
名前 |
値 |
記述 |
---|---|---|
AU_IPC_MSG |
1 |
IPC メッセージオブジェクト |
AU_IPC_SEM |
2 |
IPC セマフォオブジェクト |
AU_IPC_SHM |
3 |
IPC 共有メモリオブジェクト |
ipc_perm トークンには、System V の IPC アクセス情報が入っています。このトークンは、共有メモリ、セマフォ、メッセージの IPC イベントによって生成された監査レコードに追加されます。このトークンには 8 つのフィールドがあります。具体的には、このトークンを ipc_perm トークンとして識別するトークン ID、IPC 所有者のユーザ ID、IPC 所有者のグループ ID、IPC 作成者のユーザ ID、IPC 作成者のグループ ID、IPC のアクセスモード、IPC のシーケンス番号、IPC キー値の 8 つです。値は、IPC オブジェクトに関連付けられた ipc_perm 構造から取り出されます。図 A-15 は ipc_perm トークンの形式を示しています。
iport トークンには、TCP (または UDP) ポートアドレスが入っています。このトークンには 2 つのフィールドがあります。一方はこれを iport トークンとして識別するトークン ID で、他方は TCP/UDP ポートアドレスです。図 A-16 は iport トークンを示しています。
このトークンは、groups トークンに代わるものです。ASCII 出力が表示されるときには、どちらのトークン ID にも groups というラベルが付いているため、praudit はこの 2 つのトークンを区別しないので注意してください。
newgroups トークンは、プロセスの資格からグループエントリを記録します。newgroups トークンには 2 つの固定長フィールドがあります。一方はこれを newgroups トークンとして識別するトークン ID で、他方はこの監査レコードに入っているグループの数を表すカウントです。このトークンの残りの部分は 0 個以上のグループエントリからなっています。図 A-17 は newgroups トークンを示しています。
newgroups トークンは、監査方針 group が有効なときにのみ出力されます。詳しくは、「auditconfig コマンド」を参照してください。
opaque トークンには、フォーマットされていないデータが一連のバイトとして入っています。このトークンには 3 つのフィールドがあります。これを opaque トークンとして識別するトークン ID、データ量を表すバイト数、バイトデータの配列の 3 つです。図 A-18 は、opaque トークンを示しています。
path トークンには、オブジェクトのアクセスパス情報が入っています。このトークンには、トークン ID の他にシステムの実ルートに基づくオブジェクトへの絶対パスが入っています。パスは、パス長を示すバイト数とパスからなっています。図 A-19 は path トークンを示しています。
process トークンには、信号の受信側など、プロセスをオブジェクトとして記述する情報が入っています。このトークンには 9 つのフィールドがあります。このトークンを process トークンとして識別するトークン ID、不変の (invariant) 監査 ID、実効ユーザ ID、実効グループ ID、実ユーザ ID、実グループ ID、プロセス ID、監査セッション ID、端末 ID の 9 つです。図 A-20 は process トークンを示しています。
監査 ID、ユーザ ID、グループ ID、プロセス ID、セッション ID は、短い形式ではなく長い形式です。
セッション ID、実ユーザ ID、または実グループ ID に process トークンのフィールドを使用できないことがあります。その場合、エントリは -1 に設定されます。
Solaris 7 リリースでは、process トークンを、32 ビットの値ではなく 64 ビットのデバイス ID で表示できます。
Solaris 8 リリースでは、端末 ID は、フォーマットを変更し、デバイスに 4 バイトまたは 8 バイト、型に 16 バイト、およびアドレスに 16 バイト使用して、IPv6 アドレスを表示できます。
return トークンには、システムコールの戻り状態 (u_error) とプロセスの戻り値 (u_rval1) が入っています。このトークンには 3 つのフィールドがあります。第 1 はこのトークンを return トークンとして識別するトークン ID、第 2 はシステムコールのエラー状態、第 3 はシステムコールの戻り値です。このトークンは、必ずシステムコールに関してカーネルによって生成される監査レコードの一部として返されます。このトークンは、アプリケーションを監査中の終了状態と他の戻り値を示します。図 A-21 は return トークンを示しています。
seq トークン (シーケンストークン) は、昇順のシーケンス番号が入った省略可能なトークンです。このトークンはデバッグ用です。AUDIT_SEQ 方針が有効になっているときは、各監査レコードにこのトークンが追加されます。seq トークンには 2 つのフィールドがあります。一方はこのトークンを seq トークンとして識別するトークン ID で、他方はシーケンス番号が入った 32 ビットの無符号長形式フィールドです。シーケンス番号は、監査レコードが生成されて監査レコードに組み込まれるたびに 1 ずつ増やされます。図 A-22 は、seq トークンを示しています。
socket トークンには、インターネットソケットを記述する情報が入っています。socket トークンには 6 つのフィールドがあります。つまり、このトークンを socket トークンとして識別するトークン ID、参照されるソケットのタイプ (TCP/UDP/UNIX) を示すソケットタイプフィールド、ローカルポートアドレス、ローカルインターネットアドレス、リモートポートアドレス、リモートインターネットアドレスです。図 A-23 は、socket トークンを示しています。
Solaris 8 リリースでは、インターネットアドレスは、4 バイトを使用して IPv4 アドレスとして表示できます。または、型に 16 バイト、アドレスに 16 バイトを使用すれば、IPv6 アドレスとして表示できます。
socket-inet トークンは、ローカルポートへのソケット接続を記述します。これは、インターネットの名前空間内でソケット情報を表すために使用されます。socket-inet トークンには 4 つのフィールドがあります。つまり、このトークンを socket-inet トークンとして識別するトークン ID、インターネットファミリ (AF_INET、AF_OSI など) を示すソケットファミリフィールド、ローカルポートのアドレス、ソケットのアドレスです。図 A-24 は socket-inet トークンを示しています。
subject トークンは、サブジェクト (プロセス) を記述します。構造は process トークンと同じです。このトークンには 9 つのフィールドがあります。つまり、これを subject トークンとして識別する ID、不変の監査 ID、実効ユーザ ID、実効グループ ID、実ユーザ ID、実グループ ID、プロセス ID、監査セッション ID、端末 ID です。このトークンは、必ずシステムコールに関してカーネルによって生成される監査レコードの一部として返されます。図 A-25 は subject トークンを示しています。
監査 ID、ユーザ ID、グループ ID、プロセス ID、セッション ID は、短い形式ではなく長い形式です。
セッション ID、実ユーザ ID、または実グループ ID に subject トークンのフィールドを使用できないことがあります。その場合、エントリは -1 に設定されます。
Solaris 7 リリースでは、subject トークンを、32 ビットの値ではなく 64 ビットのデバイス ID で表示できます。
Solaris 8 リリースでは、端末 ID は、フォーマットを変更し、デバイスに 4 バイトまたは 8 バイト、型に 16 バイト、およびアドレスに 16 バイト使用して、IPv6 アドレスを表示できます。
text トークンにはテキスト文字列が入っています。このトークンには 3 つのフィールドがあります。つまり、このトークンを text トークンとして識別するトークン ID、テキスト文字列の長さ、テキスト文字列そのものです。図 A-26 は text トークンを示しています。
header 、 trailer という 2 つのトークンは、監査レコードの終端を区別し、他のすべてのトークンを囲むという点で特殊です。trailer トークンは監査レコードを終了させます。これは省略可能なトークンであり、AUDIT_TRAIL 監査方針が設定されているときにのみ、各レコードの最後のトークンとして追加されます。
trailer トークンは、監査レコードの終端をマークするという点で特殊です。 trailer トークンは header トークンとの組み合わせによって監査レコードを区切ります。また、trailer トークンを使用すると監査トレールを逆方向に検索できます。trailer トークンには、3 つのフィールドがあります。つまり、このトークンを trailer トークンとして識別するトークン ID、レコードの終わりをマークしやすくするパッド番号、header トークンと trailer トークンを含めた監査レコード内の合計文字数です。図 A-27 は trailer トークンを示しています。
監査トレール分析ソフトウェアによって、各レコードに header と trailer の両方が入ることが保証されます。ファイルシステムがいっぱいのときなど、書き込みエラーが発生すると、監査レコードが不完全になって切り捨てられることがあります。auditsvc は監査トレールへのデータ書き込みを受け持つシステムコールであり、完全な監査レコードを取り出そうとします。auditsvc(2) のマニュアルページを参照してください。ファイルシステムの領域が足りなくなると、コールは現在の監査レコードを解放せずに終了します。コールが再開するときには、切り捨てたレコードを反復できます。
この節では、すべての監査レコードを紹介します。まず、カーネルのイベントによって生成される監査レコードについて説明します ( 「カーネルレベルで生成される監査レコード」を参照)。その次に、ユーザレベルのイベントによって生成される監査レコードについて説明します ( 「ユーザレベルで生成される監査レコード」を参照)。
「イベントからシステムコールへの変換」 には、考えられるすべての監査イベントと、どのカーネルベントやユーザイベントによって監査イベントが作成されたかを識別する 2 つの表が掲載さています。表 A-205 は、監査イベントとシステムコールとのマッピングを示しています。表 A-206 は、監査イベントとアプリケーションまたはコマンドとのマッピングを示しています。
基本セキュリティモジュールによって生成される監査レコードには、一連のトークンが入っています。現在の監査方針に従って、特定のトークンは監査レコード内で省略できます。group、sequence、trailer の各トークンは、いずれもこのカテゴリに該当します。管理者は、auditconfig コマンドの -getpolicy オプションを使用して、これらのトークンが監査レコードに入っているかどうかを判断できます。
カーネルに使用されるシステムコールによって、次の監査レコードが作成されます。各レコードは、システムコールのアルファベット順に掲載してあります。各レコードの説明には次の情報が含まれています。
システムコール名
参照先のマニュアルページ (該当する場合)
監査イベント番号 (ID)
監査イベント名
監査イベントクラス
イベントクラスのマスク
監査レコード構造
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_ACCEPT |
33 |
nt |
0x00000100 |
形式 (ソケットアドレスが AF_INET ファミリの一部ではない場合) :
header-token
arg-token (1, "fd", file descriptor)
text-token ("bad socket address")
text-token ("bad peer address")
subject-token
return-token
形式 (ソケットアドレスが AF_INET ファミリの一部である場合) :
header-token 以下のファイル記述子に vnode がない場合 :
[arg-token] (1, "Bad fd", file descriptor) または、ソケットが結合していない場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("socket not bound") または、ソケットアドレス長が 0 である場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("bad socket address") 上記以外の場合 :
[socket-inet-token] ("socket address")
socket-inet-token ("socket address")
subject-token
return-token
|
表 A-6 access(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_ACCESS |
14 |
fa |
0x00000004 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-7 acl(2) - SETACL コマンド
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_ACLSET |
251 |
fm |
0x00000008 |
形式 :
header-token
arg-token (2, "cmd", SETACL)
arg-token (3, "nentries", number of ACL entries)
(0..n)[acl-token] (ACLs)
subject-token
return-token
|
表 A-8 acct(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_ACCT |
18 |
ad |
0x00000800 |
形式 (zero path) :
header-token
argument-token (1, "accounting off", 0)
subject-token
return-token
形式 (non-zero path) :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-9 adjtime(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_ADJTIME |
50 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-10 audit(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDIT |
211 |
no |
0x00000000 |
形式 :
header-token
subject-token
return-token
|
表 A-11 auditon(2) - get car
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_GETCAR |
224 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-12 auditon(2) - get event class
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_GETCLASS |
231 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-13 auditon(2) - get audit state
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_GETCOND |
229 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-14 auditon(2) - get cwd
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_GETCWD |
223 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-15 auditon(2) - get kernal mask
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_GETKMASK |
221 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-16 auditon(2) - get audit statistics
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_GETSTAT |
225 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-17 auditon(2) - GPOLICY command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_GPOLICY |
114 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-18 auditon(2) - GQCTRL command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_GQCTRL |
145 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-19 auditon(2) - set event class
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_SETCLASS |
232 |
ad |
0x00000800 |
形式 :
header-token
[argument-token] (2, "setclass:ec_event", event number)
[argument-token] (3, "setclass:ec_class", class mask)
subject-token
return-token
|
表 A-20 auditon(2) - set audit state
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_SETCOND |
230 |
ad |
0x00000800 |
形式 :
header-token
[argument-token] (3, "setcond", audit state)
subject-token
return-token
|
表 A-21 auditon(2) - set kernal mask
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_SETKMASK |
222 |
ad |
0x00000800 |
形式 :
header-token
[argument-token] (2, "setkmask:as_success", kernel mask)
[argument-token] (2, "setkmask:as_failure", kernel mask)
return-token
|
表 A-22 auditon(2) - set mask per session ID
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_SETSMASK |
228 |
ad |
0x00000800 |
形式 :
header-token
[argument-token] (3, "setsmask:as_success", session ID mask)
[argument-token] (3, "setsmask:as_failure", session ID mask)
subject-token
return-token
|
表 A-23 auditon(2) - reset audit statistics
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_SETSTAT |
226 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-24 auditon(2) - set mask per uid
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_SETUMASK |
227 |
ad |
0x00000800 |
形式 :
header-token
[argument-token] (3, "setumask:as_success", audit ID mask)
[argument-token] (3, "setumask:as_failure", audit ID mask)
subject-token
return-token
|
表 A-25 auditon(2) - SPOLICY command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_SPOLICY |
147 |
ad |
0x00000800 |
形式 :
header-token
[argument-token] (1, "policy", audit policy flags)
subject-token
return-token
|
表 A-26 auditon(2) - SQCTRL command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITON_SQCTRL |
146 |
ad |
0x00000800 |
形式 :
header-token
[argument-token] (3,"setqctrl:aq_hiwater",queue control param.)
[argument-token] (3,"setqctrl:aq_lowater",queue control param.)
[argument-token] (3,"setqctrl:aq_bufsz",queue control param.)
[argument-token] (3,"setqctrl:aq_delay",queue control param.)
subject-token
return-token
|
表 A-27 auditsvc(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_AUDITSVC |
136 |
ad |
0x00000800 |
形式 (valid file descriptor) :
header-token
[path-token]
[attr-token]
subject-token
return-token
形式 (invalid file descriptor) :
header-token
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
表 A-28 bind(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_BIND |
34 |
nt |
0x00000100 |
形式 :
header-token 以下のファイル記述子に vnode がない場合 :
[arg-token] (1, "Bad fd", file descriptor) または、ソケットが AF_INET ファミリではない場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("bad socket address") 上記以外の場合 :
[arg-token (1, "fd", file descriptor)
socket-inet-token] ("socket address")
subject-token
return-token
|
表 A-29 chdir(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_CHDIR |
8 |
pc |
0x00000080 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-30 chmod(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_CHMOD |
10 |
fm |
0x00000008 |
形式 :
header-token
argument-token (2, "new file mode", mode)
path-token
[attr-token]
subject-token
return-token
|
表 A-31 chown(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_CHOWN |
11 |
fm |
0x00000008 |
形式 :
header-token
argument-token (2, "new file uid", uid)
argument-token (3, "new file gid", gid)
path-token
[attr-token]
subject-token
return-token |
表 A-32 chroot(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_CHROOT |
24 |
pc |
0x00000080 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-33 close(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_CLOSE |
112 |
cl |
0x00000040 |
形式 :
<file system object>
header-token
argument-token (1, "fd", file descriptor)
[path-token]
[attr-token]
subject-token
return-token
|
表 A-34 connect(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_CONNECT |
32 |
nt |
0x00000100 |
形式 (ソケットアドレスが AF_INET ファミリの一部ではない場合) :
header-token
arg-token (1, "fd", file descriptor)
text-token ("bad socket address")
text-token ("bad peer address")
subject-token
return-token
形式 (ソケットアドレスが AF_INET ファミリの一部である場合) :
header-token 以下のファイル記述子に vnode がない場合 :
[arg-token] (1, "Bad fd", file descriptor) または、ソケットが結合していない場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("socket not bound") または、ソケットアドレス長が 0 である場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("bad socket address") 上記以外の場合 :
[socket-inet-token] ("socket address")
socket-inet-token ("socket address")
subject-token
return-token
|
表 A-35 creat(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_CREAT |
4 |
fc |
0x00000010 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-36 doorfs(2) - DOOR_BIND
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_DOORFS_DOOR_BIND |
260 |
ip |
0x00000200 |
形式 :
header-token
arg-token (1, "door ID", door ID)
subject-token
return-token
|
表 A-37 doorfs(2) - DOOR_CALL
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_DOORFS_DOOR_CALL |
254 |
ip |
0x00000200 |
形式 :
header-token
arg-token (1, "door ID", door ID)
process-token (for process that owns the door)
subject-token
return-token
|
表 A-38 doorfs(2) - DOOR_CREATE
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_DOORFS_DOOR_CREATE |
256 |
ip |
0x00000200 |
形式 :
header-token
arg-token (1, "door attr", door attributes)
subject-token
return-token
|
表 A-39 doorfs(2) - DOOR_CRED
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_DOORFS_DOOR_CRED |
259 |
ip |
0x00000200 |
形式 :
header-token
subject-token
return-token
|
表 A-40 doorfs(2) - DOOR_INFO
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_DOORFS_DOOR_INFO |
258 |
ip |
0x00000200 |
形式 :
header-token
subject-token
return-token
|
表 A-41 doorfs(2) - DOOR_RETURN
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_DOORFS_DOOR_RETURN |
255 |
ip |
0x00000200 |
形式 :
header-token
subject-token
return-token
|
表 A-42 doorfs(2) - DOOR_REVOKE
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_DOORFS_DOOR_REVOKE |
257 |
ip |
0x00000200 |
形式 :
header-token
arg-token (1, "door ID", door ID)
subject-token
return-token
|
表 A-43 doorfs(2) - DOOR_UNBIND
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_DOORFS_DOOR_UNBIND |
261 |
ip |
0x00000200 |
形式 :
header-token
arg-token (1, "door ID", door ID)
subject-token
return-token
|
表 A-44 enter prom
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_ENTERPROM |
153 |
na |
0x00000400 |
形式 :
header-token
text-token (addr, "monitor PROM"|"kadb")
subject-token
return-token
|
表 A-45 exec(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_EXEC |
7 |
pc,ex |
0x40000080 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-46 execve(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_EXECVE |
23 |
pc,ex |
0x40000080 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-47 exit prom
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_EXITPROM |
154 |
na |
0x00000400 |
形式 :
header-token
text-token (addr, "monitor PROM"|"kadb")
subject-token
return-token
|
表 A-48 exit(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_EXIT |
1 |
pc |
0x00000080 |
形式 :
header-token
subject-token
return-token
|
表 A-49 facl(2) - SETACL コマンド
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_FACLSET |
252 |
fm |
0x00000008 |
形式 (zero path) :
header-token
arg-token (2, "cmd", SETACL)
arg-token (3, "nentries", number of ACL entries)
arg-token (1, "no path: fd", file descriptor)
(0..n)[acl-token] (ACLs)
subject-token
return-token
形式 (non-zero path) :
header-token
arg-token (2, "cmd", SETACL)
arg-token (3, "nentries", number of ACL entries)
path-token
[attr-token]
(0..n)[acl-token] (ACLs)
subject-token
return-token
|
表 A-50 fchdir(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_FCHDIR |
68 |
pc |
0x00000080 |
形式 :
header-token
[path-token]
[attr-token]
subject-token
return-token
|
表 A-51 fchmod(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_FCHMOD |
39 |
fm |
0x00000008 |
形式 (valid file descriptor) :
header-token
argument-token (2, "new file mode", mode)
[path-token]
[attr-token]
subject-token
return-token
形式 (invalid file descriptor) :
header-token
argument-token (2, "new file mode", mode)
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
表 A-52 fchown(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_FCHOWN |
38 |
fm |
0x00000008 |
形式 (valid file descriptor) :
header-token (2, "new file uid", uid)
argument-token (3, "new file gid", gid)
[path-token]
[attr-token]
subject-token
return-token
形式 (non-file descriptor) :
header-token
argument-token (2, "new file uid", uid)
argument-token (3, "new file gid", gid)
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
表 A-53 fchroot(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_FCHROOT |
69 |
pc |
0x00000080 |
形式 :
header-token
[path-token]
[attr-token]
subject-token
return-token
|
表 A-54 fcntl(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_FCNTL (cmd=F_GETLK, F_SETLK, F_SETLKW) |
30 |
fm |
0x00000008 |
形式 (file descriptor) :
header-token
argument-token (2, "cmd", cmd)
path-token
attr-token
subject-token
return-token
形式 (bad file descriptor) :
header-token
argument-token (2, "cmd", cmd)
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
表 A-55 fork(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_FORK |
2 |
pc |
0x00000080 |
形式 :
header-token
[argument-token] (0, "child PID", pid)
subject-token
return-token
監査レコードは子プロセスが生成された時点で生成されるため、fork() の戻り値は 不定なので注意する必要がある
|
表 A-56 fork1(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_FORK1 |
241 |
pc |
0x00000080 |
形式 :
header-token
[argument-token] (0, "child PID", pid)
subject-token
return-token
監査レコードは子プロセスが生成された時点で生成されるため、fork1() の戻り値は 不定なので注意する必要がある
|
表 A-57 fstatfs(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_FSTATFS |
55 |
fa |
0x00000004 |
形式 (file descriptor) :
header-token
[path-token]
[attr-token]
subject-token
return-token
形式 (non-file descriptor) :
header-token
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
表 A-58 getaudit(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_GETAUDIT |
132 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-59 getaudit_addr()
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_GETAUDIT_ADDR |
267 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-60 getauid(2)
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_GETAUID |
130 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-61 getmsg(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_GETMSG |
217 |
nt |
0x00000100 |
形式 :
header-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
表 A-62 getmsg - accept
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SOCKACCEPT |
247 |
nt |
0x00000100 |
形式 :
header-token
socket-inet-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
表 A-63 getmsg - receive
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SOCKRECEIVE |
250 |
nt |
0x00000100 |
形式 :
header-token
socket-inet-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
表 A-64 getpmsg(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_GETPMSG |
219 |
nt |
0x00000100 |
形式 :
header-token
argument-token (1, "fd", file descriptor)
subject-token
return-token |
表 A-65 getportaudit(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_GETPORTAUDIT |
149 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token |
表 A-66 inst_sync(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_INST_SYNC |
264 |
ad |
0x00000800 |
形式 :
header-token
arg-token (2, "flags", flags value)
subject-token
return-token
|
表 A-67 ioctl(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_IOCTL |
158 |
io |
0x20000000 |
形式 (good file descriptor) :
header-token
path-token
[attr-token]
argument-token (2, "cmd" ioctl cmd)
argument-token (3, "arg" ioctl arg)
subject-token
return-token
形式 (socket) :
header-token
[socket-token]
argument-token (2, "cmd" ioctl cmd)
argument-token (3, "arg" ioctl arg)
subject-token
return-token
形式 (non-file file descriptor) :
header-token
argument-token (1, "fd", file descriptor)
argument-token (2, "cmd", ioctl cmd)
argument-token (3, "arg", ioctl arg)
subject-token
return-token
形式 (bad file name) :
header-token
argument-token (1, "no path: fd", fd)
argument-token (2, "cmd", ioctl cmd)
argument-token (3, "arg", ioctl arg)
subject-token
return-token |
表 A-68 kill(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_KILL |
15 |
pc |
0x00000080 |
形式 (valid process) :
header-token
argument-token (2, "signal", signo)
[process-token]
subject-token
return-token
形式 (zero or negative process) :
header-token
argument-token (2, "signal", signo)
argument-token (1, "process", pid))
subject-token
return-token
|
表 A-69 lchown(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_LCHOWN |
237 |
fm |
0x00000008 |
形式 :
header-token
argument-token (2, "new file uid", uid)
argument-token (3, "new file gid", gid)
path-token
[attr-token]
subject-token
return-token |
表 A-70 link(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_LINK |
5 |
fc |
0x00000010 |
形式 :
header-token
path-token (from path)
[attr-token] (from path)
path-token (to path)
subject-token
return-token
|
表 A-71 lstat(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_LSTAT |
17 |
fa |
0x00000004 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token |
表 A-72 lxstat(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_LXSTAT |
236 |
fa |
0x00000004 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-73 memcntl(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MEMCNTL |
238 |
ot |
0x80000000 |
形式 :
header-token
argument-token (1, "base", base address)
argument-token (2, "len", length)
argument-token (3, "cmd", command)
argument-token (4, "arg", command args
argument-token (5, "attr", command attributes)
argument-token (6, "mask", 0)
subject-token
return-token
|
表 A-74 mkdir(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MKDIR |
47 |
fc |
0x00000010 |
形式 :
header-token
argument-token (2, "mode", mode)
path-token
[attr-token]
subject-token
return-token
|
表 A-75 mknod(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MKNOD |
9 |
fc |
0x00000010 |
形式 :
header-token
argument-token (2, "mode", mode)
argument-token (3, "dev", dev)
path-token
[attr-token]
subject-token
return-token
|
表 A-76 mmap(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MMAP |
210 |
no |
0x00000000 |
形式 (valid file descriptor) :
header-token
argument-token (1, "addr", segment address)
argument-token (2, "len", segment length)
[path-token]
[attr-token]
subject-token
return-token
形式 (invalid file descriptor) :
header-token
argument-token (1, "addr", segment address)
argument-token (2, "len", segment length)
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
表 A-77 modctl(2) - bind module
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MODADDMAJ |
246 |
ad |
0x00000800 |
形式 :
header-token
[text-token] (driver major number)
[text-token] (driver name)
text-token (root dir.|"no rootdir")
text-token (driver major number|"no drvname")
argument-token (5, "", number of aliases)
(0..n)[text-token] (aliases)
subject-token
return-token
|
表 A-78 modctl(2) - configure module
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MODCONFIG |
245 |
ad |
0x00000800 |
形式 :
header-token
text-token (root dir.|"no rootdir")
text-token (driver major number|"no drvname")
subject-token
return-token
|
表 A-79 modctl(2) - load module
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MODLOAD |
243 |
ad |
0x00000800 |
形式 :
header-token
[text-token] (default path)
text-token (filename path)
subject-token
return-token
|
表 A-80 modctl(2) - unload module
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MODUNLOAD |
244 |
ad |
0x00000800 |
形式 :
header-token
argument-token (1, "id", module ID)
subject-token
return-token
|
表 A-81 mount(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MOUNT |
62 |
ad |
0x00000800 |
形式 (UNIX file system) :
header-token
argument-token (3, "flags", flags)
text-token (filesystem type)
path-token
[attr-token]
subject-token
return-token
形式 (NFS file system) :
header-token
argument-token (3, "flags", flags)
text-token (filesystem type)
text-token (host name)
argument-token (3, "internal flags", flags)
|
表 A-82 msgctl(2)
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MSGCTL |
84 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-83 msgctl(2) - IPC_RMID command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MSGCTL_RMID |
85 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-84 msgctl(2) - IPC_SET command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MSGCTL_SET |
86 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-85 msgctl(2) - IPC_STAT command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MSGCTL_STAT |
87 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-86 msgget(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MSGGET |
88 |
ip |
0x00000200 |
形式 :
header-token
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-87 msgrcv(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MSGRCV |
89 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-88 msgsnd(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MSGSND |
90 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-89 munmap(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_MUNMAP |
214 |
cl |
0x00000040 |
形式 :
header-token
argument-token (1, "addr", address of memory)
argument-token (2, "len", memory segment size)
subject-token
return-token
|
表 A-90 old nice(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_NICE |
203 |
pc |
0x00000080 |
形式 :
header-token
subject-token
return-token
|
表 A-91 open(2) - read
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_R |
72 |
fr |
0x00000001 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-92 open(2) - read,creat
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_RC |
73 |
fc,fr |
0x00000011 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-93 open(2) - read,creat,trunc
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_RTC |
75 |
fc,fd,fr |
0x00000031 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-94 open(2) - read,trunc
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_RT |
74 |
fd,fr |
0x00000021 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-95 open(2) - read,write
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_RW |
80 |
fr,fw |
0x00000003 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-96 open(2) - read,write,creat
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_RWC |
81 |
fr,fw,fc |
0x00000013 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-97 open(2) - read,write,create,trunc
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_RWTC |
83 |
fr,fw,fc,fd |
0x00000033 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-98 open(2) - read,write,trunc
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_RWT |
82 |
fr,fw,fd |
0x00000023 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-99 open(2) - write
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_W |
76 |
fw |
0x00000002 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-100 open(2) - write,creat
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_WC |
77 |
fw,fc |
0x00000012 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-101 open(2) - write,creat,trunc
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_WTC |
79 |
fw,fc,fd |
0x00000032 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-102 open(2) - write,trunc
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OPEN_WT |
78 |
fw,fd |
0x00000022 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-103 p_online(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_P_ONLINE |
262 |
ad |
0x00000800 |
header-token
arg-token (1, "processor ID", processor ID)
arg-token (2, "flags", flags value)
text-token (text form of flags value: P_ONLINE, P_OFFLINE, P_STATUS)
subject-token
return-token
|
表 A-104 pathconf(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_PATHCONF |
71 |
fa |
0x00000004 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-105 pipe(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_PIPE |
185 |
no |
0x00000000 |
形式 :
header-token
subject-token
return-token
|
表 A-106 priocntlsys(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_PRIOCNTLSYS |
212 |
pc |
0x0000080 |
形式 :
header-token
argument-token (1, "pc_version", priocntl version num.)
argument-token (3,"cmd", command)
subject-token
return-token
|
表 A-107 process dumped core
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_CORE |
111 |
fc |
0x0000010 |
形式 :
header-token
path-token
[attr-token]
argument-token (1, "signal", signal)
subject-token
return-token
|
表 A-108 processor_bind(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_PROCESSOR_BIND |
263 |
ad |
0x00000800 |
形式 (プロセッサ結合なし) :
header-token
arg-token (1, "ID type", type of ID)
arg-token (2, "ID", ID value)
text-token ("PBIND_NONE")
process-token (for process whose threads are bound to the processor)
subject-token
return-token
形式 (プロセッサ結合あり) :
header-token
arg-token (1, "ID type", type of ID)
arg-token (2, "ID", ID value)
arg-token (3, "processor ID", processor ID)
process-token (for process whose threads are bound to the processor)
subject-token
return-token
|
表 A-109 putmsg(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_PUTMSG |
216 |
nt |
0x00000100 |
形式 :
header-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
表 A-110 putmsg-connect
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SOCKCONNECT |
248 |
nt |
0x00000100 |
形式 :
header-token
socket-inet-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
表 A-111 putmsg-send
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SOCKSEND |
249 |
nt |
0x00000100 |
形式 :
header-token
socket-inet-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
表 A-112 putpmsg(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_PUTPMSG |
218 |
nt |
0x00000100 |
形式 :
header-token
argument-token (1, "fd", file descriptor)
subject-token
return-token
|
表 A-113 readlink(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_READLINK |
22 |
fr |
0x00000001 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-114 recvfrom(3SOCKET)
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_RECVFROM |
191 |
nt |
0x00000100 |
形式 :
header-token
sock-inet-token
argument-token (3, "len", message length)
[argument-token] (4, "flags", flags)
sock-inet-token (from address)
argument-token (6, "tolen", address length)
subject-token
return-token
誤ったソケットの sock_inet トークンは、次のように表示されます。 argument-token (1, "fd", socket descriptor)
|
表 A-115 recvmsg(3SOCKET)
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_RECVMSG |
190 |
nt |
0x00000100 |
形式 :
header-token
sock-inet-token
argument-token (3, "flags", message flags)
sock-inet-token (from address)
subject-token
return-token
誤ったソケットの sock_inet トークンは、次のように表示されます。 argument-token (1, "fd", socket descriptor)
|
表 A-116 rename(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_RENAME |
42 |
fc,fd |
0x00000030 |
形式 :
header-token
path-token (from name)
[attr-token] (from name)
[path-token] (to name)
subject-token
return-token
|
表 A-117 rmdir(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_RMDIR |
48 |
fd |
0x00000020 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-118 semctl(2)
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL |
98 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-119 semctl(2) - getall
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL_GETALL |
105 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-120 semctl(2) - GETNCNT command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL_GETNCNT |
102 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-121 semctl(2) - GETPID command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL_GETPID |
103 |
ip |
0x00000200 |
形式 :
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-122 semctl(2) - GETVAL command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL_GETVAL |
104 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-123 semctl(2) - GETZCNT command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL_GETZCNT |
106 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-124 semctl(2) - IPC_RMID command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL_RMID |
99 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-125 semctl(2) - IPC_SET command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL_SET |
100 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-126 semctl(2) - SETALL command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL_SETALL |
108 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-127 semctl(2) - SETVAL command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL_SETVAL |
107 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-128 semctl(2) - IPC_STAT command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMCTL_STAT |
101 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
|
表 A-129 semget(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMGET |
109 |
ip |
0x00000200 |
形式 :
header-token
[ipc-token]
subject-token
return-token
システムコールが失敗した場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-130 semop(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SEMOP |
110 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-131 sendmsg(3N)
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SENDMSG |
188 |
nt |
0x00000100 |
形式 :
header-token
sock-inet-token
sock-inet-token (to address)
argument-token (3, "flags", message flags)
subject-token
return-token
誤ったソケットの sock_inet トークンは、次のように表示されます。 argument-token (1, "fd", socket descriptor)
|
表 A-132 sendto(3N)
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SENDTO |
184 |
nt |
0x00000100 |
形式 :
header-token
sock-inet-token
argument-token (3, "len", message length)
[argument-token] (4, "flags", flags)
argument-token (6, "tolen", address length)
sock-inet-token (to address)
subject-token
return-token
誤ったソケットの sock_inet トークンは、次のように表示されます。 argument-token (1, "fd", socket descriptor)
|
表 A-133 setaudit(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETAUDIT |
133 |
ad |
0x00000800 |
形式 (有効なプログラムスタックのアドレス) :
header-token
argument-token (1, "setaudit:auid", audit user ID)
argument-token (1, "setaudit:port", terminal ID)
argument-token (1, "setaudit:machine", terminal ID)
argument-token (1, "setaudit:as_success", preselection mask)
argument-token (1, "setaudit:as_failure", preselection mask)
argument-token (1, "setaudit:asid", audit session ID)
subject-token
return-token
形式 (無効なプログラムスタックのアドレス) :
header-token
subject-token
return-token
|
表 A-134 setaudit_addr()
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETAUDIT_ADDR |
266 |
ad |
0x00000800 |
形式 :
header-token
argument-token (1, "auid", audit user ID)
argument-token (1, "port", terminal ID)
argument-token (1, "type", machine address type)
argument-token (1, "as_success", preselection mask)
argument-token (1, "as_failure", preselection mask)
argument-token (1, "asid", audit session ID)
subject-token
return-token
|
表 A-135 setauid(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETAUID |
131 |
ad |
0x00000800 |
形式 :
header-token
argument-token (2, "setauid", audit user ID)
subject-token
return-token
|
表 A-136 setegid(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETEGID |
214 |
pc |
0x00000080 |
形式 :
header-token
argument-token (1, "gid", group ID)
subject-token
return-token
|
表 A-137 seteuid(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETEUID |
215 |
pc |
0x00000080 |
形式 :
header-token
argument-token (1, "gid", user ID)
subject-token
return-token
|
表 A-138 old setgid(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETGID |
205 |
pc |
0x00000080 |
形式 :
header-token
argument-token (1, "gid", group ID)
subject-token
return-token
|
表 A-139 setgroups(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETGROUPS |
26 |
pc |
0x00000080 |
形式 :
header-token
[argument-token] (1, "setgroups", group ID)
subject-token
return-token
グループセットごとに1つずつトークンがある
|
表 A-140 setpgrp(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETPGRP |
27 |
pc |
0x00000080 |
形式 :
header-token
subject-token
return-token |
表 A-141 setregid(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETREGID |
41 |
pc |
0x00000080 |
形式 :
header-token
arg-token (1, "rgid", real group ID)
arg-token (2, "egid", effective group ID)
subject-token
return-token
|
表 A-142 setreuid(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETREUID |
40 |
pc |
0x00000080 |
形式 :
header-token
arg-token (1, "ruid", real user ID)
arg-token (2, "euid", effective user ID)
subject-token
return-token
|
表 A-143 setrlimit(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETRLIMIT |
51 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token |
表 A-144 setsockopt(3SOCKET)
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SETSOCKOPT |
35 |
nt |
0x00000100 |
形式 :
header-token
sock-inet-token
argument-token (2, "level", protocol level)
[argument-token] (3, "optname", option name)
argument-token (4, "val", option value)
argument-token (5, "optlen", option length)
subject-token
return-token
誤ったソケットの sock_inet トークンは、次のように表示されます。 argument-token (1, "fd", file descriptor)
|
表 A-145 old setuid(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_OSETUID |
200 |
pc |
0x00000080 |
形式 :
header-token
argument-token (1, "uid", user ID)
subject-token
return-token
監査ソフトウェアに現在含まれているバグの関係で、このトークンは AUE_OSETUID として 表示される |
表 A-146 shmat(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SHMAT |
96 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "shmid", shared memory ID)
argument-token (2, "shmaddr", shared mem addr)
[ipc-token]
[ipc_perm-token]
subject-token
return-token
共有メモリのセグメント ID が無効な場合、ipc トークンと ipc_perm トークンは 含まれない |
表 A-147 shmctl(2)
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SHMCTL |
91 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "shmid", shared memory ID)
[ipc-token]
subject-token
return-token
共有メモリのセグメント ID が無効な場合、ipc トークンと ipc_perm トークンは 含まれない
|
表 A-148 shmctl(2) - IPC_RMID command
表 A-149 shmctl(2) - IPC_SET command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SHMCTL_SET |
93 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "shmid", shared memory ID)
[ipc-token]
[ipc_perm-token]
subject-token
return-token
共有メモリのセグメント ID が無効な場合、ipc トークンと ipc_perm トークンは 含まれない
|
表 A-150 shmctl(2) - IPC_STAT command
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SHMCTL_STAT |
94 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "shmid", shared memory ID)
[ipc-token]
subject-token
return-token
共有メモリのセグメント ID が無効な場合、ipc トークンと ipc_perm トークンは 含まれない |
表 A-151 shmdt(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SHMDT |
97 |
ip |
0x00000200 |
形式 :
header-token
argument-token (1, "shmaddr", shared mem addr)
subject-token
return-token
|
表 A-152 shmget(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SHMGET |
95 |
ip |
0x00000200 |
形式 :
header-token
argument-token (0, "shmid", shared memory ID)
[ipc-token]
[ipc_perm-token]
subject-token
return-token
失敗したイベントの場合、ipc トークンと ipc_perm トークンは含まれない
|
表 A-153 shutdown(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SHUTDOWN |
46 |
nt |
0x00000100 |
形式 (ソケットアドレスが AF_INET ファミリの一部ではない場合) :
header-token
arg-token (1, "fd", file descriptor)
text-token] ("bad socket address")
text-token] ("bad peer address")
subject-token
return-token
形式 (ソケットアドレスが AF_INET ファミリの一部である場合) :
header-token 以下のファイル記述子に vnode がない場合 :
[arg-token] (1, "Bad fd", file descriptor) または、ソケットが結合していない場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("socket not bound") または、ソケットアドレス長が 0 である場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("bad socket address") 上記以外の場合 :
[socket-inet-token] ("socket address")
socket-inet-token ("socket address")
subject-token
return-token
|
表 A-154 sockconfig()
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SOCKCONFIG |
183 |
nt |
0x00000100 |
形式 :
header-token
argument-token (1, "domain", socket domain)
[argument-token] (2, "type", socket type)
argument-token (3, "protocol", socket protocol)
text-token
subject-token
return-token |
表 A-155 socket(3socket)
イベント名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SOCKET |
183 |
nt |
0x00000100 |
形式 :
header-token
argument-token (1, "domain", socket domain)
[argument-token] (2, "type", socket type)
argument-token (3, "protocol", socket protocol)
subject-token
return-token |
表 A-156 stat(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_STAT |
16 |
fa |
0x00000004 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-157 statfs(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_STATFS |
54 |
fa |
0x00000004 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-158 statvfs(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_STATVFS |
234 |
fa |
0x00000004 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-159 stime(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_STIME |
201 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-160 symlink(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SYMLINK |
21 |
fc |
0x00000010 |
形式 :
header-token
text-token (symbolic link string)
path-token
[attr-token]
subject-token
return-token
|
表 A-161 sysinfo(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SYSINFO |
39 |
ad |
0x00000800 |
形式 :
header-token
argument-token (1, "cmd", command)
text-token (name)
subject-token
return-token
|
表 A-162 system booted
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_SYSTEMBOOT |
113 |
na |
0x00000400 |
形式 :
header-token
text-token ("booting kernel")
return-token
|
表 A-163 umount(2) - old version
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_UMOUNT |
12 |
ad |
0x00000800 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-164 unlink(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_UNLINK |
6 |
fd |
0x00000020 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-165 old utime(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_UTIME |
202 |
fm |
0x00000008 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-166 utimes(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_UTIMES |
49 |
fm |
0x00000008 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-167 utssys(2) - fusers
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_UTSSYS |
233 |
ad |
0x00000800 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-168 vfork(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_VFORK |
25 |
pc |
0x00000080 |
形式 :
header-token
argument-token (0, "child PID", pid)
subject-token
return-token
監査レコードは子プロセスが作成された時点で作成されるため、fork の戻り値は 不定なので注意する必要がある
|
表 A-169 vtrace(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_VTRACE |
36 |
pc |
0x00000080 |
形式 :
header-token
subject-token
return-token
|
表 A-170 xmknod(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_XMKNOD |
240 |
fc |
0x00000010 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
表 A-171 xstat(2)
イベント 名 |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|
AUE_XSTAT |
235 |
fa |
0x00000004 |
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
カーネルの外側で動作するアプリケーションによって、次の監査レコードが作成されます。各レコードはプログラムのアルファベット順に掲載されています。各レコードの説明には、次の情報が含まれています。
プログラム名
参照先のマニュアルページ (該当する場合)
監査イベント番号
監査イベント名
監査レコードの構造
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_allocate_succ |
/usr/sbin/allocate |
6200 |
ad |
0x00000800 |
形式 :
header-token
subject-token
newgroups-token
exit-token
|
表 A-173 allocate-device failure
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_allocate_fail |
/usr/sbin/allocate |
6201 |
ad |
0x00000800 |
形式 :
header-token
subject-token
newgroups-token
exit-token
|
表 A-174 deallocate-device success
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_allocate_succ |
/usr/sbin/allocate |
6202 |
ad |
0x00000800 |
形式 :
header-token
subject-token
newgroups-token
exit-token
|
表 A-175 deallocate-device failure
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_allocate_fail |
/usr/sbin/allocate |
6203 |
ad |
0x00000800 |
形式 :
header-token
subject-token
newgroups-token
exit-token
|
表 A-176 allocate-list devices success
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_listdevice_succ |
/usr/sbin/allocate |
6205 |
ad |
0x00000800 |
形式 :
header-token
subject-token
[group-token]
exit-token
|
表 A-177 allocate-list devices failure
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_listdevice_fail |
/usr/sbin/allocate |
6206 |
ad |
0x00000800 |
形式 :
header-token
subject-token
[group-token]
exit-token
|
表 A-178 at-create crontab
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_at_create |
/usr/bin/at |
6144 |
ad |
0x00000800 |
形式 :
header-token
subject-token
[group-token]
exit-token
|
表 A-179 at-delete atjob (at or atrm)
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_at_delete |
/usr/bin/at |
6145 |
ad |
0x00000800 |
形式 :
header-token
subject-token
[group-token]
exit-token
|
表 A-180 at-permission
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_at_perm |
/usr/bin/at |
6146 |
ad |
0x00000800 |
形式 :
header-token
subject-token
[group-token]
exit-token
|
表 A-181 crontab-crontab created
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_crontab_create |
/usr/bin/crontab |
6148 |
ad |
0x00000800 |
形式 :
header-token
subject-token
[group-token]
exit-token
|
表 A-182 crontab-crontab deleted
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_crontab_delete |
/usr/bin/crontab |
6149 |
ad |
0x00000800 |
形式 :
header-token
subject-token
[group-token]
exit-token
|
表 A-183 cron-invoke atjob or crontab
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_cron_invoke |
/usr/bin/crontab |
6147 |
ad |
0x00000800 |
形式 :
header-token
text-token (either: at-job; batch-job, crontab-job, queue-job #; or unknown job type #)
text-token (cron command)
subject-token
[group-token]
exit-token
|
表 A-184 crontab-modify
イベント名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_crontab_mod |
/usr/bin/crontab |
6170 |
ad |
0x00000800 |
形式 :
header-token
subject-token
[group-token]
exit-token
|
表 A-185 crontab-permission
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_crontab_perm |
/usr/bin/crontab |
6150 |
ad |
0x00000800 |
形式 :
header-token
subject-token
[group-token]
exit-token
|
表 A-186 halt(1m)
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_halt_solaris |
/usr/sbin/halt |
6160 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-187 inetd
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_inetd_connect |
/usr/sbin/inetd |
6151 |
na |
0x00000400 |
形式 :
header-token
subject-token
text-token (service name)
return-token
|
表 A-188 init(1m)
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_init_solaris |
/sbin/init; /usr/sbin/init; /usr/sbin/shutdown |
6166 |
ad |
0x00000800 |
形式 :
header-token
subject-token
text-token (init level)
return-token
|
表 A-189 ftp access
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_ftpd |
/usr/sbin/in.ftpd |
6165 |
lo |
0x00001000 |
形式 :
header-token
subject-token
text-token (error message, failure only)
return-token
|
表 A-190 login - local
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_login |
/usr/sbin/login |
6152 |
lo |
0x00001000 |
形式 :
header-token
subject-token
text-token (error message)
return-token
|
表 A-191 login - rlogin
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_rlogin |
/usr/sbin/login |
6155 |
lo |
0x00001000 |
形式 :
header-token
subject-token
text-token (error message)
return-token
|
表 A-192 login - telnet
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_telnet |
/usr/sbin/login |
6154 |
lo |
0x00001000 |
形式 :
header-token
subject-token
text-token (error message)
return-token
|
表 A-193 logout
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_logout |
/usr/sbin/login |
6153 |
lo |
0x00001000 |
形式 :
header-token
subject-token
return-token
|
表 A-194 mount
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_mountd_mount |
/usr/lib/nfs/mountd |
6156 |
na |
0x00000400 |
形式 :
header-token
subject-token
text-token (remote client hostname)
path-token (mount dir)
text-token (error message, failure only)
return-token
|
表 A-195 unmount
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_mountd_umount |
/usr/lib/nfs/mountd |
6157 |
na |
0x00000400 |
形式 :
header-token
subject-token
text-token (remote client hostname)
path-token (mount dir)
text-token (error message, failure only)
return-token
|
表 A-196 passwd
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_passwoeoed |
/usr/bin/passwd |
6163 |
lo |
0x00001000 |
形式 :
header-token
subject-token
text-token (error message)
return-token
|
表 A-197 poweroff(1m)
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_poweroff _solaris |
/usr/sbin/poweroff |
6169 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-198 reboot (1m)
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_reboot_solaris |
/usr/sbin/reboot |
6161 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-199 rexd
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_rexd |
/usr/sbin/rpc.rexd |
6164 |
lo |
0x00001000 |
形式 :
header-token
subject-token
text-token (error message, failure only)
text-token (hostname)
text-token (username)
text-token (command to be executed)
exit-token
|
表 A-200 rexecd
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_rexecd |
/usr/sbin/in.rexecd |
6162 |
lo |
0x00001000 |
形式 :
header-token
subject-token
text-token (error message, failure only)
text-token (hostname)
text-token (username)
text-token (command to be executed)
exit-token
|
表 A-201 rsh access
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_rshd |
/usr/sbin/in.rshd |
6158 |
lo |
0x00001000 |
形式 :
header-token
subject-token
text-token (command string)
text-token (local user)
text-token (remote user)
return-token
|
表 A-202 shutdown(1b)
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_shutdown _solaris |
/usr/ucb/shutdown |
6168 |
ad |
0x00000800 |
形式 :
header-token
subject-token
return-token
|
表 A-203 su
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_su |
/usr/bin/su |
6159 |
lo |
0x00001000 |
形式 :
header-token
text-token (error message)
subject-token
return-token
|
表 A-204 uadmin(1m)
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
---|---|---|---|---|
AUE_uadmin_solaris |
/sbin/uadmin; /usr/sbin/uadmin |
6167 |
ad |
0x00000800 |
形式 :
header-token
subject-token
text-token (function)
text-token (argument)
return-token
|
表 A-205 は、監査イベント名とそれを作成したシステムコールまたはカーネルイベントとの関連付けを示しています。表 A-206 は、監査イベントとそれを生成したアプリケーションまたはコマンドとの関連付けを示しています。
表 A-205 イベントからシステムコールへの変換
監査イベント |
システムコール |
---|---|
AUE_ACCEPT | |
AUE_ACCESS | |
AUE_ACLSET | |
AUE_ACCT | |
AUE_ADJTIME | |
AUE_AUDIT | |
AUE_AUDITON_GETCAR | |
AUE_AUDITON_GETCLASS | |
AUE_AUDITON_GETCOND | |
AUE_AUDITON_GETCWD | |
AUE_AUDITON_GETKMASK | |
AUE_AUDITON_GETSTAT | |
AUE_AUDITON_GPOLICY | |
AUE_AUDITON_GQCTRL | |
AUE_AUDITON_SETCLASS | |
AUE_AUDITON_SETCOND | |
AUE_AUDITON_SETKMASK | |
AUE_AUDITON_SETSMASK | |
AUE_AUDITON_SETSTAT | |
AUE_AUDITON_SETUMASK | |
AUE_AUDITON_SPOLICY | |
AUE_AUDITON_SQCTRL | |
AUE_AUDITSVC | |
AUE_BIND | |
AUE_CHDIR | |
AUE_CHMOD | |
AUE_CHOWN | |
AUE_CHROOT | |
AUE_CLOSE | |
AUE_CONNECT | |
AUE_CORE | |
AUE_CREAT | |
AUE_DOORFS_DOOR_BIND | |
AUE_DOORFS_DOOR_CALL | |
AUE_DOORFS_DOOR_CREATE | |
AUE_DOORFS_DOOR_CRED | |
AUE_DOORFS_DOOR_INFO | |
AUE_DOORFS_DOOR_RETURN | |
AUE_DOORFS_DOOR_REVOKE | |
AUE_DOORFS_DOOR_UNBIND | |
AUE_ENTERPROM | |
AUE_EXEC | |
AUE_EXECVE | |
AUE_EXIT | |
AUE_EXITPROM | |
AUE_FACLSET | |
AUE_FCHDIR | |
AUE_FCHMOD | |
AUE_FCHOWN | |
AUE_FCHROOT | |
AUE_FCNTL | |
AUE_FORK | |
AUE_FORK1 | |
AUE_FSTATFS | |
AUE_GETAUDIT | |
AUE_GETAUID | |
AUE_GETMSG | |
AUE_GETPMSG | |
AUE_GETPORTAUDIT | |
AUE_INST_SYNC | |
AUE_IOCTL | |
AUE_KILL | |
AUE_LCHOWN | |
AUE_LINK | |
AUE_LSTAT | |
AUE_LXSTAT | |
AUE_MEMCNTL | |
AUE_MKDIR | |
AUE_MKNOD | |
AUE_MMAP | |
AUE_MODADDMAJ | |
AUE_MODCONFIG | |
AUE_MODLOAD | |
AUE_MODUNLOAD | |
AUE_MOUNT | |
AUE_MSGCTL | |
AUE_MSGCTL_RMID | |
AUE_MSGCTL_SET | |
AUE_MSGCTL_STAT | |
AUE_MSGGET | |
AUE_MSGRCV | |
AUE_MSGSND | |
AUE_MUNMAP | |
AUE_NICE | |
AUE_OPEN_R | |
AUE_OPEN_RC | |
AUE_OPEN_RT | |
AUE_OPEN_RTC | |
AUE_OPEN_RW | |
AUE_OPEN_RWC | |
AUE_OPEN_RWT | |
AUE_OPEN_RWTC | |
AUE_OPEN_W | |
AUE_OPEN_WC | |
AUE_OPEN_WT | |
AUE_OPEN_WTC | |
AUE_OSETUID | |
AUE_P_ONLINE | |
AUE_PATHCONF | |
AUE_PIPE | |
AUE_PRIOCNTLSYS | |
AUE_PROCESSOR_BIND | |
AUE_PUTMSG | |
AUE_PUTPMSG | |
AUE_READLINK | |
AUE_RECVFROM | |
AUE_RECVMSG | |
AUE_RENAME | |
AUE_RMDIR | |
AUE_SEMCTL | |
AUE_SEMCTL_GETALL | |
AUE_SEMCTL_GETNCNT | |
AUE_SEMCTL_GETPID | |
AUE_SEMCTL_GETVAL | |
AUE_SEMCTL_GETZCNT | |
AUE_SEMCTL_RMID | |
AUE_SEMCTL_SET | |
AUE_SEMCTL_SETALL | |
AUE_SEMCTL_SETVAL | |
AUE_SEMCTL_STAT | |
AUE_SEMGET | |
AUE_SEMOP | |
AUE_SENDMSG | |
AUE_SENDTO | |
AUE_SETAUDIT | |
AUE_SETAUDIT_ADDR | |
AUE_SETAUID | |
AUE_SETEGID | |
AUE_SETEUID | |
AUE_SETGID | |
AUE_SETGROUPS | |
AUE_SETPGRP | |
AUE_SETREGID | |
AUE_SETREUID | |
AUE_SETRLIMIT | |
AUE_SETSOCKOPT | |
AUE_SETUID |
表 A-145、AUE_OSETUID として表示される |
AUE_SHMAT | |
AUE_SHMCTL | |
AUE_SHMCTL_RMID | |
AUE_SHMCTL_SET | |
AUE_SHMCTL_STAT | |
AUE_SHMDT | |
AUE_SHMGET | |
AUE_SHUTDOWN | |
AUE_SOCKACCEPT | |
AUE_SOCKCONFIG | |
AUE_SOCKCONNECT | |
AUE_SOCKET | |
AUE_SOCKRECEIVE | |
AUE_SOCKSEND | |
AUE_STAT | |
AUE_STATFS | |
AUE_STATVFS | |
AUE_STIME | |
AUE_SYMLINK | |
AUE_SYSINFO | |
AUE_SYSTEMBOOT | |
AUE_UMOUNT | |
AUE_UNLINK | |
AUE_UTIME | |
AUE_UTIMES | |
AUE_UTSSYS | |
AUE_VFORK | |
AUE_VTRACE | |
AUE_XMKNOD | |
AUE_XSTAT |
表 A-206 イベントからコマンドへの変換
監査イベント |
コマンド |
---|---|
AUE_allocate_succ | |
AUE_allocate_fail | |
AUE_deallocate_succ | |
AUE_deallocate_fail | |
AUE_listdevice_succ | |
AUE_listdevice_fail | |
AUE_at_create | |
AUE_at_delete | |
AUE_at_perm | |
AUE_crontab_create | |
AUE_crontab_delete | |
AUE_cron_invoke | |
AUE_crontab_mod | |
AUE_crontab_perm | |
AUE_halt_solaris | |
AUE_inetd_connect | |
AUE_init_solaris | |
AUE_ftpd | |
AUE_login | |
AUE_rlogin | |
AUE_telnet | |
AUE_logout | |
AUE_mountd_mount | |
AUE_mountd_umount | |
AUE_passwd | |
AUE_poweroff_solaris | |
AUE_reboot_solaris | |
AUE_rexd | |
AUE_rexecd | |
AUE_rshd | |
AUE_shutdown_solaris | |
AUE_su | |
AUE_uadmin_solaris |