sequence トークンを使用したデバッグ

複数のワークステーションのレコードを併合して作成した監査トレールで、レコードが順不同で並べられている場合には、sequence トークンを使って監査トレールの不一致をデバッグすることができます。sequence トークンは、デフォルトでは記録されないので、セキュリティ管理者が監査ポリシーに追加します。監査ポリシーは、その監査トレールにかかわっている全ワークステーションで必ず同じ設定にしてください。

監査トレールのデバッグが終了したら、セキュリティ管理者はトークンを削除します。

sequence トークンを監査レコードに追加する方法

1. seq 監査ポリシーを動的に追加するためには、ラベル admin_low でセキュリティ管理者になって、コマンド行に次のように入力します。

   $ auditconfig -setpolicy +seq $ auditconfig -getpolicy slabel, seq

2. seq 監査ポリシーを常置するためには、ラベル admin_low でセキュリティ管理者になって、audit_startup ファイルに次のように入力します。

   #!/bin/sh
   auditconfig -setpolicy +slabel, seq

sequence トークンを監査レコードに含めない方法

1. seq 監査ポリシーを動的に削除するためには、ラベル admin_low でセキュリティ管理者になって、コマンド行に次のように入力します。

   $ auditconfig -setpolicy -seq $ auditconfig -getpolicy slabel

2. ラベル admin_low でセキュリティ管理者になって、seq 監査ポリシーを audit_startup ファイルから削除します。

   #!/bin/sh
   
   auditconfig -setpolicy +slabel