Solaris 監査については、『Solaris のシステム管理 (セキュリティサービス)』の第 28 章「Solaris 監査 (概要)」を参照してください。監査を使用する際のゾーンの考慮事項については、次の節を参照してください。
監査レコードには、システムへのログインやファイルへの書き込みなどのイベントが記載されます。レコードは、監査データのセットであるトークンで構成されます。zonename トークンを使用して Solaris 監査を構成することで、監査イベントをゾーンごとに識別できます。zonename トークンを使用すると、次の情報を生成できます。
レコードを生成したゾーンの名前がマーク付けされた監査レコード
大域管理者がゾーン管理者に提供可能な特定のゾーンの監査ログ
Solaris 監査トレールは、大域ゾーンで構成されます。監査ポリシーが大域ゾーン内で設定され、すべてのゾーン内のプロセスに適用されます。イベントが発生したゾーンの名前を使って、監査レコードをマーク付けできます。監査レコード内にゾーン名を含めるには、非大域ゾーンをインストールする前に /etc/security/audit_startup ファイルを編集する必要があります。ゾーン名の選択では、大文字と小文字が区別されます。
すべてのゾーン監査レコードが含まれるよう、大域ゾーン内で監査を構成するには、/etc/security/audit_startup ファイルに次の行を追加します。
/usr/sbin/auditconfig -setpolicy +zonename |
大域ゾーンの大域管理者として、auditconfig ユーティリティーを実行します。
global# auditconfig -setpolicy +zonename |
追加情報については、audit_startup(1M) と auditconfig(1M) のマニュアルページ、および『Solaris のシステム管理 (セキュリティサービス)』の「監査ファイルの構成 (作業マップ)」を参照してください。
非大域ゾーンのインストール時に、大域ゾーン内の audit_control ファイルおよび audit_user ファイルがゾーンの /etc/security ディレクトリにコピーされます。ゾーンの監査ニーズに合わせて、これらのファイルの修正が必要な場合があります。
たとえば、一部のユーザーをほかのユーザーとは異なる方法で監査するように、各ゾーンを構成できます。ユーザーごとに異なる事前選択基準を適用するには、audit_control ファイルおよび audit_user ファイルの両方を編集する必要があります。非大域ゾーン内の audit_user ファイルも必要に応じて改訂し、ゾーンのユーザーベースを反映する必要があります。監査するユーザーに応じて各ゾーンの構成を変えることができるため、audit_user ファイルを空にすることもできます。
詳細は、audit_control(4) および audit_user(4) のマニュアルページを参照してください。
「大域ゾーン内での監査の構成」で説明したように、zonename トークンを含めることで、Solaris 監査レコードをゾーン別に分類できます。 auditreduce コマンドを使用してレコードをゾーンごとに収集して、特定のゾーンのログを作成できます。
詳細は、audit_startup(1M) および auditreduce(1M) のマニュアルページを参照してください。