監査フラグの構文
イベントが成功した場合、失敗した場合、またはイベントの成否にかかわらず、クラスのイベントを監査することができます。どんな場合に監査を行うかは、接頭辞によって決まります。監査フラグの書式は次のとおりです。
監査フラグ -lo # イベントが失敗した場合に監査を行う +lo # イベントが成功した場合に監査を行う lo # イベントの成否にかかわらず監査を行う
監査フラグ +lo は「成功したすべてのログインとログアウト」を表し、監査フラグ -lo は「失敗したすべてのログイン」を表します (ログアウトに失敗することはありません)。監査フラグ lo は「成功したすべてのログインとログアウト、失敗したすべてのログイン」を表します。
注 -
監査クラス xs を失敗した場合について監査してはなりません。これは、監査トレールに多数の雑音が生成されるためです。正しい監査フラグは +xs です。X サーバーの監査クラスの詳細については、audit_class(4) ファイルを参照してください。
このほかに、成功した処理すべてを監査する +all フラグがあります。
注意 - フラグ all は大量のデータを生成するので、監査ファイルシステムがすぐにいっぱいになります。特別な理由で全イベントを監査する必要がある場合以外は、フラグ all を使用しないでください。
次の表に示す接頭辞は、どのような場合に監査クラスの監査を行うかを規定します。それぞれ、イベントが成功した場合、失敗した場合、またはイベントの成否にかかわらず監査を行うことを表しています。
表 1-2 監査フラグで使用する接頭辞|
接頭辞 |
定義 |
|---|---|
|
なし |
イベントの成否にかかわらず監査 |
|
成功した場合に限って監査 |
|
すでに設定されている監査フラグを修正する接頭辞
修正接頭辞には、3 通りの使用方法があります。具体的には、audit_control(4) ファイルの flags: 行で使用して規定済みのフラグを修正するか、audit_user(4) ファイルのユーザーエントリの中のフラグに使用するか、auditconfig(1M) コマンドの引数に使用するかです。
表 1-3 の接頭辞を監査フラグに付けると、すでに規定されている監査クラスの有効・無効を切り替えることができます。接頭辞には、すでに規定されているフラグの有効・無効を切り替える働きしかありません。
表 1-3 すでに規定されている監査フラグの修正に使用する接頭辞|
接頭辞 |
定義 |
|---|---|
|
^- |
失敗した処理の監査を無効にする |
|
^+ |
成功した処理の監査を無効にする |
|
^ |
失敗した処理と成功した処理両方の監査を無効にする |
次の例では、接頭辞 ^- を audit_control ファイルの flag: 行で使用しています。
flags:lo,ad,-all,^-fc
- © 2010, Oracle Corporation and/or its affiliates