Solaris のシステム管理 (セキュリティサービス)

監査クラス

システム全体での Solaris 監査のデフォルト値は、1 つ以上のイベントのクラスを指定して事前選択されます。クラスは、システムの audit_control ファイルでシステムごとに事前選択されます。システムを使用するすべてのユーザーが、これらのイベントのクラスに対して監査されます。このファイルについては、「audit_control ファイル」を参照してください。

監査クラスを構成し、新しい監査クラスを作成できます。監査クラス名は、最長 8 文字です。クラスの説明は、72 文字に制限されています。数値と英数字以外の文字が使用できます。

audit_user データベースのユーザーのエントリに監査クラスを追加して、ユーザーごとの監査対象を変更できます。監査クラスは、auditconfig コマンドの引数としても使用します。詳細は、auditconfig(1M) のマニュアルページを参照してください。

監査クラスの定義

次の表に、事前に定義されている監査クラス、監査クラスの記述名、および短い説明を示します。

表 31–1 事前に定義されている監査クラス


監査クラス	記述名	説明
`all`	`all`	すべてのクラス (メタクラス)
`no`	`no_class`	事前選択を無効にする空の値
`na`	`non_attrib`	ユーザーが原因ではないイベント
`fr`	`file_read`	データを読み取る、読み取りのために開く
`fw`	`file_write`	データを書き込む、書き込みのために開く
`fa`	`file_attr_acc`	オブジェクト属性にアクセスする: `stat`、`pathconf`
`fm`	`file_attr_mod`	オブジェクト属性を変更する: `chown`、`flock`
`fc`	`file_creation`	オブジェクトの作成
`fd`	`file_deletion`	オブジェクトの削除
`cl`	`file_close`	`close` システムコール
`ap`	`application`	アプリケーションが定義するイベント
`ad`	`administrative`	管理上の操作 (旧 administrative メタクラス)
`am`	`administrative`	管理上の操作 (メタクラス)
`ss`	`system state`	システムの状態を変更
`as`	`system-wide administration`	システム全体の管理
`ua`	`user administration`	ユーザー管理
`aa`	`audit administration`	監査の使用
`ps`	`process start`	プロセスの起動、プロセスの停止
`pm`	`process modify`	プロセスの変更
`pc`	`process`	プロセス (メタクラス)
`ex`	`exec`	プログラムの実行
`io`	`ioctl`	`ioctl()` システムコール
`ip`	`ipc`	System V IPC 操作
`lo`	`login_logout`	ログインとログアウトのイベント
`nt`	`network`	ネットワークイベント: `bind`、`connect`、 `accept`
`ot`	`other`	その他、デバイス割り当てや `memcntl()` など

/etc/security/audit_class ファイルを変更して、新しいクラスを定義できます。既存クラスの名前の変更も可能です。詳細は、audit_class(4) のマニュアルページを参照してください。

監査クラスの構文

成功した場合に監査されるイベント、失敗した場合に監査されるイベント、または両方の場合に監査されるイベントがあります。接頭辞を指定しなかったイベントのクラスは、成功した場合も失敗した場合も監査されます。プラス (+) 接頭辞が付いた場合、イベントのクラスは成功した場合のみが監査されます。マイナス (-) 接頭辞が付く場合、イベントのクラスは失敗した場合のみが監査されます。次の表に、監査クラスの例をいくつか示します。

表 31–2 接頭辞 (プラス記号、マイナス記号) の付いた監査クラス


`[prefix]` `class`	意味
`lo`	成功したすべてのログインとログアウト、および失敗したすべてのログインを監査します。ログアウトが失敗することはありません。
`+lo`	成功したすべてのログインとログアウトを監査します。
`-all`	失敗したすべてのイベントを監査します。
`+all`	成功したすべてのイベントを監査します。

注意 –

all クラスを指定すると、大量のデータが生成され、監査ファイルシステムがすぐにいっぱいになる可能性があります。all クラスは、特別な理由ですべての活動を監査する場合にだけ使用してください。

キャレット接頭辞 ^ を使用すると、選択されている監査フラグをさらに変更できます。次の表は、キャレット接頭辞を使って選択済みの監査クラスを変更する方法を示したものです。

表 31–3 指定済みの監査クラスを変更するキャレット接頭辞


`^`[`prefix`]`class`	意味
`-all,^-fc`	失敗したすべてのイベントを監査します。ただし、失敗したファイルシステムオブジェクト作成は監査しません
`am,^+aa`	成功または失敗したすべての管理イベントを監査します。ただし、成功した監査管理は監査しません
`am,^ua`	成功または失敗したすべての管理イベントを監査します。ただし、ユーザー管理イベントは監査しません

監査クラスとその接頭辞は、次のファイルとコマンドで使用できます。

audit_control ファイルの flags 行
audit_control ファイルの plugin:name=audit_syslog.so; p_flags= 行
audit_user データベース内のユーザーのエントリ
auditconfig コマンドオプションの引数として

audit_control ファイル内での接頭辞の使用例については、「audit_control ファイル」を参照してください。