監査レコードは監査ログ内に収集されます。Solaris 監査では、監査ログ用の 2 つの出力モードがあります。「監査ファイル」と呼ばれるログは、バイナリ形式で監査レコードを格納します。システムまたはサイトからの一連の監査ファイルでは、完全な監査レコードが提供されます。完全な監査レコードは「監査トレール」と呼ばれます。
syslog ユーティリティーを使用して、テキストバージョンの監査レコードの概要を収集して格納します。syslog レコードは、完全なレコードではありません。次の例は、login 監査レコードの syslog エントリを示します。
Oct 13 11:24:11 example_system auditd: [ID 6472 audit.notice] \ login - login ok session 378 by root as root:other |
サイトは監査レコードを両方の形式で格納できます。使用中のシステムを設定して、バイナリモード、syslog モード、または両方のモードを使用できます。次の表は、バイナリ形式の監査レコードと syslog 監査レコードの比較を示します。
表 28–2 バイナリ形式の監査レコードと syslog 監査レコードの比較
機能 |
バイナリレコード |
syslog レコード |
---|---|---|
プロトコル |
ファイルシステムに書き込みます |
遠隔ログ記録に UDP を使用します |
データ型 |
バイナリ形式 |
テキスト |
レコード長 |
無制限 |
監査レコードあたり最大 1024 文字 |
場所 |
ローカルディスク、および NFS を使用してマウントされたディレクトリに格納されます |
syslog.conf ファイルで指定された場所に格納されます |
設定方法 |
audit_control ファイルを編集して、監査ディレクトリを保護し NFS でマウントします |
audit_control ファイルを編集して、 syslog.conf ファイルを編集します |
読み取り方法 |
通常、バッチモード XML 形式によるブラウザの出力 |
リアルタイムで、または syslog 用に作成したスクリプトによる検索 プレーンテキスト形式の出力 |
完全性 |
完全であることと正確な順番で表示されることが保証されます |
完全であることは保証されません |
タイムスタンプ |
グリニッジ標準時 (GMT) |
監査されているシステム上の時間 |
バイナリ形式のレコードにより、強力なセキュリティーとカバレージが提供されます。バイナリ出力は、共通基準制御アクセス保護プロファイル (CAPP) などのセキュリティー認証の要件を満たします。各レコードは、傍受されないように保護したファイルシステムに書き込まれます。 単一のシステム上で、すべてのバイナリ形式のレコードが、収集され順番に表示されます。バイナリログの GMT タイムスタンプにより、特定の監査トレールのシステムが複数の時間帯にわたって配信されるとき、正確に比較することができます。praudit -x コマンドを使用すると、レコードを XML 形式でブラウザに表示できます。スクリプトを使用して、XML を解析することもできます。
これに対し、syslog レコードは、より扱いやすく柔軟性が優れています。たとえば、さまざまなソースから syslog データを収集できます。また、syslog.conf ファイル内の audit.notice イベントを監視するとき、syslog ユーティリティーを使用して、現在のタイムスタンプで監査レコードの概要のログをとることができます。ワークステーション、サーバー、ファイアウォール、ルーターなどのさまざまなソースからの syslog メッセージ用に開発された管理および分析ツールと同じツールを使用できます。レコードをリアルタイムで表示し、遠隔システム上に格納することができます。
syslog.conf を使用して監査レコードを遠隔に格納すると、攻撃者による改変や削除からログデータが保護されます。その一方で、監査レコードを遠隔に格納すると、レコードは、サービス拒否や偽装されたソースアドレスなどのネットワーク攻撃を受けやすくなります。また、UDP はパケットを破棄したり、間違った順番でパケットを配信したりすることがあります。syslog エントリの制限は、1024 文字です。そのため、一部の監査レコードがログで切り捨てられる可能性があります。単一のシステム上で、すべての監査レコードが収集されるわけではありません。レコードが順番に表示されない場合もあります。各監査レコードにはローカルシステムの日時が記録されているため、タイムスタンプを基に、複数のシステム用の監査トレールを構成することはできません。
監査ログについての詳細は、次を参照してください。
audit_syslog(5) のマニュアルページ
audit.log(4) のマニュアルページ