監査ツール
この節では、監査の管理に使用する主なユーティリティプログラムとスクリプトについて説明します。監査はシステムのインストール時に有効になっていますが、/etc/init.d/audit スクリプトと /etc/system ファイルを編集することによって無効にしたり、再度有効にすることができます。監査が有効になっている場合、監査デーモンは auditd コマンドで呼び出され、audit コマンドで停止します。ただし、監査レコードの記録が中断している間も、レコードの収集は続行されます。audit コマンドには、このほかにもデーモンを制御するための各種オプションがあります。audit_startup スクリプトを実行すると、システムの始動時に監査パラメータを構成できます。audit_warn スクリプトでは、監査障害が生じたときに発信する警告メッセージや処置を指定できます。praudit コマンドは監査レコードを表示したい場合に、auditreduce コマンドは監査トレールを 1 つにまとめて監査レコードを選択しやすくしたい場合に、auditstat は監査統計を表示したい場合に使用します。
audit
audit(1M) コマンドは、現在の監査デーモンを制御するためのインタフェースです。監査デーモン (auditd) は、audit_control ファイルの情報を使用して、監査トレールファイルの生成と配置場所を制御します。audit コマンドで、次の操作が可能です。
-
audit_control ファイルに指定されている監査格納ディレクトリリストの最優先ディレクトリをリセットする
-
audit_control ファイルに指定されている監査ディレクトリの新規監査ファイルを、監査デーモンが最後に読み取るファイルとして開く
-
監査デーモンにシグナルを送り、監査レコードの収集を続行したまま監査トレールを閉じて記録を停止するようにする
auditconfig
auditconfig(1M) コマンドは、カーネルの監査パラメータを取得、設定するためのコマンド行インタフェースを提供します。これには、監査ポリシーのさまざまな部分の設定が含まれます。
audit_startup
audit_startup(1M) スクリプトは、監査デーモンが起動する前に、監査サブシステムを初期化します。このスクリプトは、システムのデフォルトポリシーの設定や、イベントとクラスの対応関係の初期値をダウンロードするために使用する、一連の auditconfig コマンドで構成されています。セキュリティ管理者は、アプリケーションマネージャの「システム管理 (System_Admin)」フォルダを開いて、audit_startup を使用します。このスクリプトは、サイトでの必要に応じて構成できます。
audit_warn
audit_warn(1M) スクリプトは、監査デーモンから取得した警告およびエラーメッセージを処理します。問題点が検出されると、監査デーモンは適切な引数を使用して audit_warn を呼び出します。オプションの引数は、エラーの種類を指定するために使用します。audit_warn 状況が発生したときに通知を受けるユーザーのリストは、aliases(4) で audit_warn と呼ばれるメールエイリアスに定義します。
praudit
praudit(1M) コマンドは、監査トレールファイルの内容を、ユーザーが読める形式で出力します。
auditreduce
auditreduce(1M) コマンドを使用すると、1 台以上のコンピュータに格納された監査トレールファイルからレコードを選択したり、複数のレコードを 1 つにまとめる (併合する) ことができます。merge 機能によって、1 つ以上の入力監査トレールファイルの監査レコードが 1 つの出力ファイルに併合されます。select 機能では、レコードの内容に関連付けられた基準に沿って、監査レコードを選択できます。praudit コマンドで、merge と select 機能をスクリプト内で組み合わせることによって、サイト用にカスタマイズされたレポートを作成することもできます。
auditstat
auditstat(1M) コマンドでは、処理された監査レコードの数、カーネルの監査モジュールが使用しているメモリ容量など、カーネルに関する監査統計を表示することができます。
- © 2010, Oracle Corporation and/or its affiliates