ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris 11.1 の管理: セキュリティーサービス Oracle Solaris 11.1 Information Library (日本語) |
パート II システム、ファイル、およびデバイスのセキュリティー
10. Oracle Solaris のセキュリティー属性 (参照)
22. Kerberos エラーメッセージとトラブルシューティング
監査レコードは、一連の監査トークンです。監査トークンには、ユーザー ID、時間、日付などのイベント情報が入っています。監査レコードは、header トークンで始まり、オプションの trailer トークンで終わります。ほかの監査トークンには、監査イベントに関連する情報が入っています。次の図は、標準的なカーネル監査レコードと標準的なユーザーレベルの監査レコードを示しています。
図 29-1 標準的な監査レコードの構造
監査レコードの分析には、監査トレールからのレコードの事後選択が必要です。次の 2 つの方法のうちのいずれかを使用して、収集されたバイナリデータを解析できます。
praudit コマンドを使用します。コマンドのオプションにより、さまざまなテキスト出力が提供されます。たとえば、praudit -x コマンドを使用すると、スクリプトとブラウザへの入力のための XML が得られます。praudit 出力には、バイナリデータの解析に役立つことだけが目的のフィールドは含まれません。praudit 出力の順序や形式は Oracle Solaris リリース間では保証されません。
praudit 出力の例については、「バイナリ監査ファイルの内容を表示する方法」を参照してください。
監査トークンごとの praudit 出力の例については、「監査トークンの形式」にある個々のトークンを参照してください。
バイナリデータのストリームを解析するためのプログラムを作成できます。このプログラムは、監査レコードの変種を考慮に入れる必要があります。たとえば、ioctl() システムコールは、「不正なファイル名」に対する監査レコードを作成します。このレコードには、「無効なファイル記述子」に対する ioctl() 監査レコードとは異なるトークンが含まれています。
各監査トークン内のバイナリデータの順番については、audit.log(4) のマニュアルページを参照してください。
目録の値については、/usr/include/bsm/audit.h ファイルを参照してください。
監査レコード内のトークンの順序を表示するには、auditrecord コマンドを使用します。auditrecord コマンドの出力には、目録の値ごとに異なるトークンが含まれています。角括弧 ([]) は、監査トークンがオプションであることを表しています。詳細は、auditrecord(1M) のマニュアルページを参照してください。