監査機能の概要
監査を正常に機能させるには、識別と認証という 2 つのセキュリティ機能が重要な役割を果たします。ログイン時にユーザがユーザ名とパスワードを与えると、固有の監査 ID がそのユーザのプロセスに関連付けられます。監査 ID は、ログインセッション中に起動されるすべてのプロセスによって継承されます。ユーザが ID を変更しても (su(1M) のマニュアルページを参照)、 実行するすべての動作は同じ監査 ID によって追跡されます。
監査機能によって次のことが可能になります。
-
システム上で発生するセキュリティに関係するイベントを監視する
-
イベントを監査トレールに記録する
-
誤用または権限のない動作を (監査トレールの分析により) 検出する
システム管理者は、システムの構成時にどの動作を監視するかを選択します。管理者は各ユーザに行う監査の程度を細かく調整することもできます。
監査データを収集したら、監査ファイル縮小ツールと変換ツールによって監査トレールの注目すべき部分を検査できます。たとえば、個別のユーザまたはグループの監査レコードを調べるか、特定の日に発生した特定のタイプのイベントのレコードをすべて調べるか、または、特定の日時に発生したレコードだけを取り出すかを選択できます。
この章では、監査機能を設定し、管理する方法を説明します。監査データを変換する方法については、第 4 章「デバイスの割り当て」を参照してください。
- © 2010, Oracle Corporation and/or its affiliates