監査クラス
まず、監査の対象となるイベントを決定します。監査では、ユーザーアクションや、原因を特定できないイベント (割り込みなど、特定のユーザーが原因とは考えられないイベント) を取り出すことができます。ユーザーアクションについては、成功したトランザクションと失敗したトランザクションに分けることができます。監査イベントは、Trusted Solaris に定義されたクラスに編成されます。ファイルの監査クラスは、次のような一般領域に分類されます。
-
読み取り用で開く
-
書き込み用で開く
-
属性の変更
-
作成
-
削除
必要に応じて独自のクラスやイベントを作成したり、イベントとクラスの対応関係を再編成することもできます。そのほかのクラスが追跡するイベントには、プロセス操作、ネットワークイベント、ウィンドウ操作、IPC 操作、管理処理、ログイン、ログアウト、アプリケーション特有のイベント、ioctl システムコール、プログラムの実行、X サーバーの操作など、さまざまなイベントがあります。監査情報の記録には、かなりの容量が必要となるため、監査対象とするイベントは慎重に決定し、サイトのセキュリティポリシーに不可欠なイベントに対応したクラスだけを選択するようにします。
- © 2010, Oracle Corporation and/or its affiliates