監査の開始

監査は、通常、ワークステーションをブートして監査デーモンが起動すると有効になります (auditd(1M) のマニュアルページを参照)。障害発生時には、admin_high シェルにある /usr/sbin/auditd を実行して手動でデーモンを起動します。この作業はセキュリティ管理者が行います。

/etc/security/audit_startup というパス名を持つファイルがある場合には、システムがマルチユーザーモードに入ると監査デーモンが自動的に実行されます。このファイルは本来は実行可能スクリプトであり、監査デーモンを実行する直前に起動シーケンスの一部として呼び出されます (audit_startup(1M) のマニュアルページを参照)。デフォルトの audit_startup スクリプトは、イベントとクラスの対応関係を自動的に構成し、監査ポリシーを設定します。このスクリプトは監査パッケージのインストール時に作成されます。

セキュリティ管理者は、audit_startup スクリプトを編集してデフォルトの監査ポリシーを変更することができます。監査ポリシーについては 「監査ポリシーの設定」を参照してください。