付録 C 監査リファレンス
監査機能によって Trusted Solaris のオペレーティング環境に数多くのユーティリティが加わります。この付録ではユーティリティを 4 つのセクションに分けて紹介します。各セクションで説明されているユーティリティは次の表のとおりです。各表には、ユーティリティの名前と、それが実行する処理の簡単な説明が記載されています。また、各セクションはマニュアルページの接頭辞で分類されています。なお、5 番目の表には、監査サブシステムのファイルのファイルシステムセキュリティ属性が記載されています。
表 C-1 セクション 1M - 保守コマンド|
コマンド |
処理 |
|---|---|
|
audit(1M) |
監査デーモンの制御 |
|
audit_startup(1M) |
監査サブシステムの初期化 |
|
audit_warn(1M) |
監査デーモンの警告スクリプトの実行 |
|
auditconfig(1M) |
監査の設定 |
|
auditd(1M) |
監査トレールファイルの制御 |
|
auditreduce(1M) |
監査トレールファイルから監査レコードを選択したり監査レコードを併合したりする |
|
auditstat(1M) |
カーネルの監査統計を表示 |
|
praudit(1M) |
監査トレールファイルの内容を出力する |
|
/etc/init.d/audit stop |
監査を停止する [スクリプト ; init.d(4) を参照] |
|
/etc/init.d/audit start |
監査を再開する [スクリプト ; init.d(4)を参照] |
表 C-2 セクション 2 - システムコール
|
システムコール |
システムパラメータ |
処理 |
|---|---|---|
|
audit(2) |
|
レコードを監査ログに書き込む |
|
auditon(2) |
|
監査機能の操作 |
|
|
A_GETPOLICY |
監査ポリシーフラグの取得 |
|
|
A_SETPOLICY |
監査ポリシーフラグの設定 |
|
|
A_GETKMASK |
非同期監査イベントの事前選択マスクの取得 |
|
|
A_SETKMASK |
非同期監査イベントの事前選択マスクの設定 |
|
|
A_GETQCTRL |
カーネル監査待ち行列の制御パラメータの取得 |
|
|
A_SETQCTRL |
カーネル監査待ち行列の制御パラメータの設定 |
|
|
A_GETSTAT |
監査システム統計の取得 |
|
|
A_SETSTAT |
監査システム統計のリセット |
|
|
A_GETCOND |
監査機能のオン、オフまたは無効の判断 |
|
|
A_SETCOND |
監査機能のオンまたはオフを設定 |
|
|
A_GETFSIZE |
監査トレールファイルのサイズ制限の取得 |
|
|
A_GETCLASS |
指定したイベントクラスとの対応関係を返す |
|
|
A_SETCLASS |
指定したイベントクラスとの対応関係の設定 |
|
|
A_GETPINFO |
特定のプロセスの監査情報の取得 |
|
|
A_SETPMASK |
特定のプロセスの事前選択マスクの設定 |
|
|
A_SETUMASK |
特定の監査 ID のすべてのプロセスについてプロセスマスクを設定 |
|
|
A_GETCWD |
特定のセッション ID のすべてのプロセスについてプロセスマスクを設定 |
|
|
A_GETCWD |
そのプロセスの現在の作業中ディレクトリを取得 |
|
|
A_GETCAR |
そのプロセスの現在のアクティブルートを取得 |
|
auditsvc(2) |
|
指定したファイル記述子に監査ログを書き込む |
|
getaudit(2) |
|
プロセス監査情報の取得 |
|
setaudit(2) |
|
プロセス監査情報の設定 |
|
getauid(2) |
|
ユーザー監査識別情報の取得 |
|
setauid(2) |
|
ユーザー監査識別情報の設定 |
表 C-3 セクション 3 - C ライブラリ機能
|
ライブラリコール |
処理 |
|---|---|
|
au_preselect(3) |
監査イベントの事前選択 |
|
au_user_mask(3) |
ユーザーのバイナリ事前選択マスクの取得 |
|
getacdir(3), getacmin(3), getacflg(3), getacna(3), setac(3), endac(3) |
監査制御ファイル情報の取得 |
|
getauclassnam(3), getauclassnam_r(3), getauclassent(3), getauclassent_r(3), setauclass(3), endauclass(3) |
audit_class(4) エントリの取得 |
|
getauditflagsbin(3), getauditflagschar(3) |
監査フラグの仕様を変換 |
|
getauevent(3), getauevent_r(3), getauevnam(3), getauevnam_r(3), getauevnum(3), getauevnum_r(3), getauevnonam(3), setauevent(3), endauevent(3) |
audit_event(4) エントリの取得 |
|
getauusernam(3), getauuserent(3), setauuser(3), endauuser(3) |
audit_user(4) エントリの取得 |
|
getfauditflags(3) |
プロセス監査状態の生成 |
表 C-4 セクション 4 - ヘッダー、テーブル、マクロ
|
ファイル |
処理 |
|---|---|
|
audit.log(4) |
監査トレールファイルの書式を示す |
|
audit_class(4) |
監査クラスの定義を示す |
|
audit_control(4) |
システム監査デーモンの情報の制御 |
|
audit_data(4) |
監査デーモンの現在の情報を保持 |
|
audit_event(4) |
監査イベントの定義、監査イベントとクラスの対応関係を保持 |
|
audit_user(4) |
ユーザーごとの監査データファイルを保持 |
表 C-5 監査サブシステムのファイルシステムセキュリティ属性
|
名前 |
[SL] |
DAC |
所有者 |
グループ |
|---|---|---|---|---|
|
audit(1M) |
[ADMIN_LOW] |
555 |
bin |
bin |
|
auditd(1M) |
|
|
|
|
|
auditconfig(1M) |
|
|
|
|
|
auditstat(1M) |
|
|
|
|
|
auditreduce(1M) |
|
|
|
|
|
praudit(1M) |
|
|
|
|
|
/etc/init.d/audit* |
[ADMIN_LOW] |
400 |
root |
sys |
|
audit_warn(1M) |
[ADMIN_LOW] |
640 |
root |
sys |
|
audit_startup(1M) |
|
|
|
|
|
audit.log(4) |
[ADMIN_HIGH] |
400 |
root |
root |
|
audit_class(4) |
[ADMIN_LOW] |
400 |
root |
sys |
|
audit_control(4) |
[ADMIN_LOW] |
400 |
root |
sys |
|
audit_data(4) |
[ADMIN_LOW] |
660 |
root |
root |
|
audit_event(4) |
[ADMIN_LOW] |
400 |
root |
sys |
|
audit_user(4) |
[ADMIN_LOW] |
400 |
root |
sys |
- © 2010, Oracle Corporation and/or its affiliates