各マシン上の audit_control ファイルは、監査デーモンによって読み込まれます (audit_control(4) のマニュアルページを参照)。audit_control ファイルは /etc/security ディレクトリにあります。分散システムのマシンは監査ファイルシステムをさまざまな場所からマウントしているか、異なる順序で指定しているので、各マシン上では別の audit_control ファイルが管理されます。たとえば、マシン A の一次監査ファイルシステムは、マシン B の二次監査ファイルシステムになっている場合があります。
audit_control ファイル内では、4 種類の情報を 4 種類の行で指定します。
監査フラグ行 (flags:) には、マシン上のすべてのユーザに対して監査されるイベントクラスを定義する監査フラグが含まれます。ここで指定する監査フラグは、マシン全体の監査フラグまたはマシン全体の監査事前選択マスクと呼びます。監査フラグは、スペースなしでコンマで区切ります。
非帰因フラグ行 (naflags:) には、動作が特定のユーザに帰因しない場合に、監査されるイベントクラスを定義する監査フラグが含まれます。フラグはスペースなしでコンマで区切ります。
監査しきい値行 (minfree:) では、すべての監査ファイルシステムについて確保する最小空き領域のレベルを定義します。「監査デーモンが使用できるディレクトリ」を参照してください。minfree のパーセンテージは、0 以上でなければなりません。デフォルトは 20 パーセントです。
ディレクトリ定義行 (dir:) では、監査トレールファイルを格納するためにマシンが使用する監査ファイルシステムとディレクトリを定義します。1 行または複数のディレクトリ定義行を使用できます。auditd は、指定した順序でディレクトリ内の監査ファイルを開くので、dir: 行の順序は重要です (audit(1M) のマニュアルページを参照)。最初に指定される監査ディレクトリは、そのマシンの一次監査ディレクトリで、2 つ目の監査ディレクトリは、二次監査ディレクトリです。監査デーモンは、最初の監査ディレクトリがいっぱいになると、監査トレールファイルを 2 つ目の監査ディレクトリに入れ、以下同様の処理を行います。
管理者は、構成時に audit_control ファイルをマシンごとに作成します。
管理者は、システム構成時に audit_control ファイルを作成した後で、それを編集できます。変更した後に audit -s を実行して監査デーモンに audit_control ファイルを再度読み込むように指示します。
audit -s コマンドでは、既存のプロセスについて指定された事前選択マスクは変更されません。既存のプロセスについては auditconfig、setaudit (getaudit(2) のマニュアルページを参照)、または auditon を使用します。
次の例は、マシン dopey で使用する audit_control ファイルです。dopey では、監査サーバ blinken 上にある 2 つの監査ファイルシステムと、別の監査サーバ winken からマウントした 3 つ目の監査ファイルシステムが使用されます。3 つ目の監査ファイルシステムは、blinken 上の監査ファイルシステムがいっぱいになった場合、または利用できない場合に使用されます。20 パーセントに指定された minfree は、ファイルシステムが 80 パーセントまで使用され、次に利用できる監査ディレクトリがあればそこに現在のマシンの監査データが格納される場合に、警告スクリプト (audit_warn(1M) のマニュアルページを参照) を実行するように指示します。このフラグによって、すべてのログインと管理操作が (成功するかどうかにかかわらず) 監査されることと、ファイルシステムのオブジェクトの作成の失敗を除き、すべてのタイプの失敗が監査されることが指定されます。
flags:lo,ad,-all,^-fc naflags:lo,nt minfree:20 dir:/etc/security/audit/blinken/files dir:/etc/security/audit/blinken.1/files # # Audit filesystem used when blinken fills up # dir: /etc/security/audit/winken