監査トレール

分散システムの全監査ファイルをまとめて監査トレールといいます。監査トレールは、複数の監査ディレクトリにある監査ファイルを指す場合と、1 つの監査ディレクトリにある複数の監査トレールを指す場合があります。たいていの場合、監査ディレクトリは分割された監査ファイルシステムのパーティションです。監査ディレクトリを監査ファイルシステム以外のファイルシステムに含めることもできますが、あまりお勧めはできません。

監査ファイルは、デフォルトでは /etc/security/audit/*/files と定義された監査ルートディレクトリに保存されます。各ワークステーションに監査ルートディレクトリが作成され、命名規則に従ってマウント先を指定し、監査管理サーバーにディレクトリがマウントされると、管理ツールの auditreduce と praudit を使って監査トレール全体を調べることができます。監査トレールを設定する方法については、「監査の設定手順 - 基本」を参照してください。

監査専用でないファイルシステムに監査ディレクトリを配置することもできますが、できるだけ避けてください。何らかの理由で監査専用でないパーティションに監査ファイルを配置しなくてはならない場合、ローカル監査ディレクトリに配置します。このディレクトリは、ほかに適したディレクトリが利用できない場合だけ監査ファイルが書き込まれるディレクトリとなります。このほかに、監査ディレクトリを専用の監査ファイルシステム以外に配置することができるのは、監査が必須ではなく、監査トレールを保存することよりもディスク領域を十分に活用することが重視されている場合です。セキュリティを重要視する生産環境では、別のファイルシステムに監査ディレクトリを配置することはできません。

監査トレールはどのように作成されるか

監査トレールは監査デーモン auditd(1M) によって作成されます。監査デーモンは、ワークステーションの起動時に各ワークステーションで呼び出されます。auditd は、監査トレールデータを収集し、監査レコードを監査ファイルに書き込みます。この監査ファイルは監査ログファイルとも呼ばれます。ファイル形式の説明については、audit.log(4) のマニュアルページを参照してください。

図 3-1 監査の仕組み

監査デーモンはスーパーユーザーのプロセスとして動作し、監査デーモンが作成するファイルはすべてスーパーユーザーの所有になります。auditd は、監査するクラスがない場合でも、常に動作して監査レコードを置く場所を探します。カーネルの監査バッファがいっぱいになってワークステーションの作業が中断しても auditd の動作は継続します。監査動作を続行できるのは、auditd が監査対象に含まれないからです。