監査トレールはどのように作成されるか

監査トレールは監査デーモン auditd(1M) によって作成されます。監査デーモンは、ワークステーションの起動時に各ワークステーションで呼び出されます。auditd は、監査トレールデータを収集し、監査レコードを監査ファイルに書き込みます。この監査ファイルは監査ログファイルとも呼ばれます。ファイル形式の説明については、audit.log(4) のマニュアルページを参照してください。

図 3-1 監査の仕組み

監査デーモンはスーパーユーザーのプロセスとして動作し、監査デーモンが作成するファイルはすべてスーパーユーザーの所有になります。auditd は、監査するクラスがない場合でも、常に動作して監査レコードを置く場所を探します。カーネルの監査バッファがいっぱいになってワークステーションの作業が中断しても auditd の動作は継続します。監査動作を続行できるのは、auditd が監査対象に含まれないからです。