ワークステーションを個別に監査する

1 台のワークステーションで変更した監査構成ファイルをネットワーク上のその他のワークステーションにコピーできなかった場合には、各ワークステーションを個別に監査します。

1. ラベル admin_low でセキュリティ管理者になって、監査構成ファイルを中央のロケーションからすべてのワークステーションへコピーします。

   ここで、「監査構成ファイルをネットワーク上の各ワークステーションに配布する方法」の手順に従います。

2. ユーザーアクションによるイベントとユーザーアクションによらないイベントの監査クラスとの対応関係がカーネルキャッシュと一致していることを確認します。

ユーザーアクションによる監査イベントと監査クラスの対応関係を設定する方法

1. ラベル admin_low でセキュリティ管理者になって、まずカーネルの事前選択マスクが audit_control(4) ファイルの flags: フィールドのクラスの対応関係に一致していることを確認します。そのためには次のコマンドを実行します。

   $ auditconfig -chkconf

2. 実行時のクラスの対応関係がカーネルキャッシュと異なる場合には、次のコマンドを実行します。

   $ auditconfig -conf

ユーザーアクションを原因としない監査イベントと監査クラスの対応関係を設定する方法

1. まずラベル admin_low でセキュリティ管理者になって、カーネルの事前選択マスクが audit_control(4) ファイルの naflags: フィールドのユーザーアクションを原因としないイベントに一致していることを確認します。そのためには次のコマンドを実行します。

   $ auditconfig -getkmask

イベントが異なる場合には次のコマンドを実行します。

$ auditconfig -setkmaskac