監査デーモンの役割
監査デーモン auditd(1M) の処理内容を次にまとめます。
-
auditd は、audit_control ファイルに指定されているディレクトリの監査ログファイルを、指定されている順番で開いたり閉じたりする
-
auditd は、カーネルから監査データを読み込み、監査ファイルに書き込む
-
auditd は、監査ディレクトリがいっぱいになって audit_control ファイルに規定されている限界を越えると audit_warn スクリプトを実行する。このスクリプトはデフォルトで、audit_warn エイリアスとコンソールに警告を送る audit_warn はサイトの必要に応じてカスタマイズしてください。audit_warn スクリプトについては、「audit_warn スクリプト」で説明します。
-
監査ディレクトリがすべていっぱいになると、システムのデフォルト構成によって監査レコードを生成するプロセスが中断され、auditd は、コンソールと audit_warn エイリアスにメッセージを書き込む (監査ポリシーは auditconfig コマンドで再構成できる)。このとき、システム管理者以外がログインして監査ファイルをテープに書き込んだり、監査ファイルをシステムから削除したり、その他のクリーンアップ処理を行うことはできません。
監査デーモンがワークステーションのマルチユーザーモードへの移行と共に起動する場合、または、audit -s コマンドによって、監査デーモンがファイルの編集後にファイルを再度読み込むように指示されている場合、auditd は必要な空き領域の大きさを判断して audit_control ファイルからディレクトリのリストを読み込み、そのディレクトリを監査ファイルの作成場所の候補とします。
監査デーモンのポインタは、常に、このリストの 1 番最初のディレクトリに位置しています。監査デーモンは、監査ファイルを作成しなくてはならなくなるたびに、現在監査デーモンのポインタがある、リスト中の最初のディレクトリにファイルを配置します。
- © 2010, Oracle Corporation and/or its affiliates