/etc/security/audit_user データベースは、システム全体の事前選択クラスを個々のユーザーごとに変更します。audit_user データベース内のユーザーエントリに追加するクラスは、audit_control ファイルにある設定を次の 2 つの方法で変更します。
そのユーザーについて常に監査する監査クラスを指定する
そのユーザーについて監査しない監査クラスを指定する
audit_user データベースの各ユーザーエントリには、次の 3 つのフィールドがあります。
username:always-audit-classes:never-audit-classes |
always-audit-classes フィールドは、指定されたクラスの監査を有効にします。このフィールドを使用してシステム全体の設定を変更します。たとえば、always-audit-classes フィールドに all を指定すると、ユーザーのすべての動作が監査されます。
never-audit-classes フィールドは、指定されたクラスの監査を無効にします。このフィールドを使用して、システム設定を上書きします。never-audit-classes フィールドに all を指定すると、audit_control ファイルに指定された監査クラスを含め、ユーザーのすべての監査がオフになります。
たとえば、ファイルシステムオブジェクトの正常な読み取り動作を除き、システム全体の監査設定を tamiko というユーザーに適用するとします。次の audit_user エントリでの 2 番目のコロン (:) の位置に注意してください。
tamiko:^+fr:no modify system defaults for fr |
前述のエントリは、「正常なファイル読み取り動作を除くすべての動作を監査する」ことを意味しています。
ユーザー tamiko について、正常なファイル読み取り動作を除くすべての動作を監査する場合、次のエントリを使用します。
tamiko:all,^+fr:no audit everything except fr |
ユーザー tamiko の正常なファイル読み取り動作について、システムのデフォルト設定を上書きするとします。次のエントリは、「常にすべての動作を監査するが、正常なファイルの読み取り動作はまったく監査しない」ことを意味しています。
tamiko:all:+fr override system defaults for fr |
正常終了したイベントと失敗したイベントは別々に取り扱われます。プロセスが生成する監査レコードの数は、イベントが正常終了した場合よりも失敗した場合のほうが多くなる可能性があります。