プロセス監査の特性
-
プロセス事前選択マスク
-
監査 ID (AUID)
-
監査セッション ID
-
端末 ID (ポート ID、ワークステーション ID)
プロセス事前選択マスク
ユーザーがログインすると、login によって、audit_control ファイルのワークステーション全体の監査フラグと、audit_user ファイルにユーザー固有の監査フラグがある場合はそのフラグが 組み合わされ、そのユーザーのプロセスのプロセス事前選択マスクが設定されます。プロセス事前選択マスクによって、各監査イベントクラスのイベントが監査レコードを生成するかどうかが規定されます。
プロセス事前選択マスクを得るためのアルゴリズムは次のとおりです。まず、audit_control ファイルの flags: 行の監査フラグが、audit_user ファイルのユーザーエントリにある「常時監査実行」フィールドのフラグに追加されます。次に audit_user ファイルのユーザー項目にある「監査回避」フィールドのフラグが全体から引かれます。
ユーザープロセス事前選択マスク = (flags: 行 +「常時監査実行」フラグ) -「監査回避」フラグ
監査 ID
ユーザーのログイン時、各プロセスは監査 ID を取得します。この監査 ID は、ユーザーの最初のプロセスによって生成した子プロセスすべてに引き継がれるため、ユーザーの行動を追跡するのに役立ちます。ユーザーが役割になった後でも監査 ID は変わりません。また、各監査レコードに監査 ID が保存されるため、管理者はいつでもログインした元のユーザーまで戻って、そのアクションを追跡することができます。
監査セッション ID
監査セッション ID はログイン時に割り当てられ、すべての子プロセスに引き継がれます。
端末 ID
端末 ID は、ホスト名とインターネットアドレス、それに続く固有番号で構成され、この固有番号でユーザーがログインした物理デバイスを識別します。たいていの場合、ログインはコンソールを通じて行うので、コンソールデバイスに対応する固有番号は 0 になります。
- © 2010, Oracle Corporation and/or its affiliates