監査レコードの読み方

どの監査レコードも必ず、header トークンとそれ以外のトークン 1 つを備えています。たとえば、監査イベント AUE_login の監査レコードには 5 つのトークンがあります。AUE_login の監査レコード書式の詳細については、表 B-247 を参照してください。

praudit がデフォルトで表示する AUE_login の監査レコードは次のようになります。1 行につきトークンが 1 つ記述されます。

header,90,3,login - local,,Tue Jul 8 15:12:01 1997, +520002000 msec,
text,emily
text,successful login
subject,emily,emily,staff,emily,staff,14094,14094,0 0 willet,
return,success,0
sequence,17
trailer,90

次のトークンがあります。

• header トークン

• text トークン (ログイン名)

• text トークン (成功または失敗)

• subject トークン

• return トークン

この監査ファイルがレコードを集め終わると、監査ポリシートークンのシーケンス (sequence) とトレーラ (trailer) が有効になり、すべての監査レコードに次のトークンが含まれるようになります。

• sequence (シーケンス) トークン

• trailer (トレーラ) トークン

監査レコードには次の特徴があります。

• ユーザーの各プロセスには固有の監査 ID が割り当てられ、この監査 ID はユーザー ID を変更しても変わらない (14094)

• 各セッションは、監査セッション ID を持つ (14094)

• 監査レコードは他のファイル、レコードを参照しない

各監査レコードには、イベントを発生させたユーザーを識別する監査 ID があります。また、監査レコードは他のファイルを参照する必要がありません。このため、監査レコードを個別に閲覧し、監査トレールをさかのぼらないで有意味な情報を得ることができます。

Trusted Solaris 7 の監査レコードには、あるイベントに関連した情報がすべて含まれているので、発生した事象の情報を得るために別の監査レコードを参照する必要はありません。たとえば、ファイルイベントを記述した監査レコードには、ルートディレクトリを起点とするファイルのフルパス名、ファイルを開いたり閉じたりした日付と時刻が記載されています。

システム管理ファイルは、監査ファイルのアーカイブで保存してください。監査トレールの情報は、ユーザーやその UID の変更など、サイトの担当者や設備の変更によって変化し、レコードを解釈する能力に影響を及ぼします。

praudit -l を使うと、監査レコードを 1 行で表示できます。

header,90,3,login - local,,Tue Jul 8 15:12:01 1997, +520002000 msec,text,emily,text,successful
login,subject,emily,emily, staff,emily,staff,14094,14094,0 0 willet,return,success,0,
sequence,17,trailer,90

praudit -r を使うと、監査レコードは次のように表示されます。

20,90,3,6152,0x0000,872028721,520002000
40,emily
40,successful login
36,6001,6001,10,6001,10,14094,14094,0 0 129.150.110.2
39,0,0
47,17
19,90