監査フラグは監査対象となるイベントのクラスを示します。マシン全体で有効な監査関連のデフォルト値は、audit_control ファイル内のフラグによって各マシン上のすべてのユーザ用に指定されます。 詳細については、「audit_controlファイル 」を参照して下さい。
システム管理者は、監査フラグを audit_user ファイルにあるユーザエントリに入れることにより、各ユーザに対して監査を行う対象を修正できます。また、監査フラグは、auditconfig コマンドの引数として使用できます (auditconfig(1M) のマニュアルページを参照)。
表 2-2 に、事前に定義されている各監査クラスの監査フラグ (これはクラスを表す短縮名です)、ロング名、および説明を示します。システム管理者は、監査構成ファイル内の監査クラスを使用して、監査の対象となるイベントのクラスを指定します。audit_classファイルを修正することにより、クラスの定義を追加したり、クラス名を変更したりできます (audit_class(4) のマニュアルページを参照)。
表 2-2 監査クラス
短縮名 |
ロング名 |
短い説明 |
---|---|---|
データの読み取り、読み取りのためのオープンなど |
||
データの書き込み、書き込みのためのオープンなど |
||
オブジェクト属性へのアクセス : stat、pathconf など |
||
オブジェクト属性の変更 : chown、flock など |
||
オブジェクトの作成 |
||
オブジェクトの削除 |
||
プロセスの操作 : fork、exec、exit など |
||
ネットワークイベント: bind、connect、accept など |
||
ユーザが原因ではないイベント |
||
管理的な操作 |
||
ログインとログアウトのイベント |
||
アプリケーションが定義するイベント |
||
プログラムの実行 |
||
その他 |
||
イベントのクラスは、付けられている接頭辞に応じて、成功したか失敗したかについて、成功した場合のみ、または、失敗した場合のみ、監査を行うことができます。監査フラグの構文は次のとおりです。
prefixflag
次の表に、成功した場合も失敗した場合も監査する接頭辞、成功した場合のみ、または失敗した場合のみ監査する接頭辞をそれぞれ示します。
表 2-3 監査フラグに使用する接頭辞
接頭辞 |
意味 |
---|---|
なし |
成功と失敗の両方の場合に監査する |
+ |
成功の場合のみ監査する |
- |
失敗の場合のみ監査する |
これらの監査フラグがどのように連動するかという例として、lo を考えてみます。これは「ログインとログアウトの成功した場合すべて、および、ログインの失敗した場合すべて」を意味する監査フラグです (ログアウトに失敗することはありません)。別の例としては、-all は失敗したすべての種類の試みを意味し、+all は成功したすべての種類の試みを意味します。
allフラグは大量のデータを生成し、すぐに監査ファイルシステムをいっぱいにします。したがってこのフラグは、すべてを監査しなければならない特別な理由がある場合にのみ使用してください。
次の接頭辞を 3 つの方法のいずれかで使用します。つまり、すでに指定されているフラグを変更する場合に、audit_control ファイル内のflags 行を使用するか、audit_user ファイル内のユーザエントリの flags を使用するか、または auditconfig を使用して、監査フラグを変更します (auditconfig(1M) のマニュアルページを参照)。
次の表に示す接頭辞を監査クラスの短縮名とともに使用して、指定済みの監査クラスをオンまたはオフにします。これらの接頭辞は、指定済みのフラグのみをオンまたはオフにします。
表 2-4 指定済みの監査フラグを変更する接頭辞
接頭辞 |
意味 |
---|---|
^- |
失敗した試みに対する監査をオフにする |
^+ | |
^ |
成功した試みと失敗した試みの両方に対して監査をオフにする |
^- 接頭辞は、次の例のように audit_control ファイルの flags 行で使用します。
次の例では、lo フラグ と ad フラグが、すべてのログインと管理的な操作について成功と失敗の両方の場合に、監査することを指定しています。-all は「失敗したすべてのイベント」を監査することを意味します。^- 接頭辞は「指定したクラスの、失敗した試みについての監査をオフにする」ため、^-fc フラグは、失敗したすべてのイベントの監査を指定した以前のフラグを変更します。したがって、この 2 つのフィールドを合わせると、「ファイルシステムオブジェクトの作成に失敗した試みを除けば、失敗したイベントをすべて監査する」ことを意味します。
flags:lo,ad,-all,^-fc |