監査ファイルの保存場所
どのワークステーションでも、/etc/security/audit ディレクトリには監査ログファイルすべてを収めたサブディレクトリがあります。/etc/security ディレクトリには、監査構成に関連するファイルが収められていて、ブート時に監査デーモンが使用するワークステーションごとの audit_data ファイルもここに含まれます。このディレクトリは必ずルートファイルシステムの一部としてください。
監査事後選択ツールは、デフォルトでは /etc/security/audit の下のディレクトリを検索します。したがって、監査サーバーにはじめて監査ファイルシステムをマウントする場合、そのパス名は、/etc/security/audit/server-name (server-name は監査サーバーの名前) のような書式になります。監査サーバーに複数の監査パーティションがある場合、第 2 のマウント先のパス名は /etc/security/audit/server-name.1 、第 3 のマウント先のパス名は /etc/security/audit/server-name.2 となり、以下同様に続きます。
たとえば、監査ファイルサーバー audubon で利用できる監査ファイルシステムの名前は、/etc/security/audit/audubon と /etc/security/audit/audubon.1 になります。
各監査ファイルシステムには、files という名前のサブディレクトリがあります。監査ファイルはこの files サブディレクトリに収められており、これを検索するには auditreduce コマンドを使用します。監査ファイルサーバー audubon の場合、 files サブディレクトリのフルパス名は /etc/security/audit/audubon/files になります。
監査デーモンは、各ワークステーションのローカルファイル audit_control の命令に従って、監査ファイルを files サブディレクトリに配置します。たとえば、監査サーバー eagle から監査ファイルシステムをマウントする場合、ワークステーションの audit_control ファイルの dir: 行は次のようになります。
dir: /etc/security/audit/eagle/files
なんらかの理由で監査サーバーの /etc/security/audit/server-name[.suffix] (server-name は監査サーバーの名前、.suffix は監査パーティションを表わす接尾辞) ディレクトリが使用できない場合、臨時の階層レベルを使ってワークステーションのローカルルートファイルシステムが監査ファイルでいっぱいになるのを防ぐことができます。files サブディレクトリは監査サーバーにあり、ローカルの監査ログファイルも監査サーバーと同様に /etc/security/audit/client-name (client-name はクライアント名) という名前になります。このため、万一マウントに失敗しても、ローカルのマウント先ディレクトリに監査ファイルが作成されてしまうことはありません。
監査ディレクトリのアクセス権
次の表に、/etc/security/audit/workstation-name (workstation-name はワークステーション名) ディレクトリのアクセス権と、そのすぐ下の files ディレクトリのアクセス権を示します。
表 1-4 監査ディレクトリとファイルのアクセス権|
所有者 |
グループ |
アクセス権 |
|---|---|---|
|
audit |
audit |
750 |
- © 2010, Oracle Corporation and/or its affiliates