監査の機能

監査では、指定したイベントが発生したときに監査レコードが生成されます。通常、次のイベントが発生すると監査レコードが生成されます。

• システムの起動とシャットダウン

• ログインとログアウト

• プロセスまたはスレッドの作成と破棄

• オブジェクトを開く、閉じる、削除する、または名前を変更する

• 特権機能または役割に基づくアクセス制御 (RBAC) の使用

• 識別動作と認証動作

• プロセスまたはユーザーによるアクセス権の変更

• パッケージのインストールなどの管理動作

• サイト固有のアプリケーション

次の 3 つが監査レコードの生成元になります。

• アプリケーション

• 非同期監査イベントの結果

• プロセスのシステムコールの結果

関連するイベント情報が取得されたあと、これらの情報が監査レコードに書式設定されます。各監査レコードには、イベントを識別する情報、イベントの発生元、イベントの時刻、およびその他の関連情報が格納されます。このレコードが次に、有効なプラグインの監査キュー内に配置されます。すべてのプラグインをアクティブにできますが、少なくとも 1 つのプラグインがアクティブである必要があります。

デフォルトでは、1 つのプラグインがアクティブです。これは、監査レコードを監査ファイルに書き込む audit_binfile プラグインです。これらのファイルは、バイナリ形式でローカルに格納されます。アクティブな audit_remote プラグインは、これらのレコードをリモートリポジトリに送信します。アクティブな audit_syslog プラグインは、概要テキストを syslog ユーティリティーに送信します。図については、図 26-1 を参照してください。

ローカルに格納する場合、監査ファイルは 1 つ以上の ZFS プールに格納できます。ZFS プールによって、ローカルな記憶領域が管理しやすくなります。これらのプールは異なるシステム上や、リンクされた異なるネットワーク上に配置できます。接続された監査ファイルの集合は、監査トレールと呼ばれます。

詳細は、「監査の構成方法」、「監査ログ」、および 「監査プラグインモジュール」を参照してください。