付録 A 監査レコードの説明
この付録は 2 部に分かれています。第 1 部では監査レコード構造の各部分と各監査トークンの構造について説明します。第 2 部では、基本セキュリティモジュールによって生成されるすべての監査レコードをイベント記述別に定義します。
監査レコードの構造
監査レコードは、一連の監査トークンです。監査トークンには、ユーザ ID、時刻、日付などのイベント情報が入っています。header トークンは監査レコードで始まり、省略可能なトレーラで終わります。他の監査トークンには、監査関連情報が入っています。図 A-1 は典型的な監査レコードを示しています。
図 A-1 典型的な監査レコード
監査トークンの構造
論理上、各トークンにはトークンタイプ識別子とそれに続くトークン固有のデータが付いています。各トークンタイプには固有の形式と構造があります。表 A-1 は現在のトークンを示しています。トークンのスキーマは拡張できます。
表 A-1 基本セキュリティモジュールの監査トークン|
トークン名 |
記述 |
|---|---|
|
acl |
アクセス制御リスト情報 |
|
arbitrary |
形式情報と型情報が付いたデータ |
|
arg |
システムコールの引数値 |
|
attr |
V ノードトークン |
|
exec_args |
Exec システムコールの引数 |
|
exec_env |
Exec システムコールの環境変数 |
|
exit |
プログラム終了情報 |
|
file |
監査ファイル情報 |
|
groups |
プロセスグループ情報 (使用しません) |
|
header |
レコードの始まりを示す |
|
in_addr |
インターネットアドレス |
|
ip |
IP ヘッダ情報 |
|
ipc |
System V IPC 情報 |
|
ipc_perm |
System V IPC オブジェクトトークン |
|
iport |
インターネットポートアドレス |
|
newgroups |
プロセスグループ情報 |
|
opaque |
構造化されていないデータ (形式が未指定) |
|
path |
パス情報 (パス) |
|
process |
プロセストークン情報 |
|
return |
システムコールの状態 |
|
seq |
シーケンス番号トークン |
|
socket |
ソケットのタイプとアドレス |
|
socket-inet |
ソケットのポートとアドレス |
|
subject |
サブジェクトトークン情報 (process トークンと同じ構造) |
|
text |
ASCII 文字列 |
|
trailer |
レコードの終わりを示す |
監査レコードには、必ず header トークンが入っています。header トークンは、監査トレール内で監査レコードの始まりを示します。ユーザの動作に帰因しないイベントからの監査レコードを除き、どの監査レコードにも subject トークンが入っています。ユーザに帰因するイベントの場合、この 2 つのトークンはイベントを引き起こしたプロセスの値を参照します。非同期イベントの場合、process トークンはシステムを参照します。
acl トークン
acl トークンは ACL に関する情報を記録するもので、 4 つの固定長フィールドから成ります。このトークンが acl であることを示すトークン ID フィールド、ACL のタイプを表わすフィールド、ACL ID フィールド、およびこの ACL に関連したアクセス権を表わすフィールドです。形式は次のとおりです。
図 A-2 acl トークンの形式
arbitrary トークン
arbitrary トークンは、監査トレール用にデータをカプセル化します。このトークンは 4 つの固定長フィールドと 1 つのデータ配列からなっています。固定長フィールドは、このトークンを arbitrary トークンとして識別するトークン ID、推奨形式フィールド (16 進など)、カプセル化されるデータのサイズを指定するサイズフィールド (短い形式など)、後続の項目数を示すカウントフィールドの 4 つです。トークンの残りの部分は、指定された型の 1 つまたは複数の項目からなっています。arbitrary トークンは次のようになっています。
図 A-3 arbitrary トークンの形式
出力形式フィールドには、表 A-2 のような値を入れることができます。
表 A-2 arbitrary トークンの出力形式フィールドの値|
値 |
動作 |
|---|---|
|
AUP_BINARY |
日付が 2 進形式で出力される |
|
AUP_OCTAL |
日付が 8 進形式で出力される |
|
AUP_DECIMAL |
日付が 10 進形式で出力される |
|
AUP_HEX |
日付が 16 進形式で出力される |
|
AUP_STRING |
日付が 10 進形式で出力される |
項目サイズフィールドには、表 A-3 のような値を入れることができます。
表 A-3 arbitrary トークンの項目サイズフィールドの値|
値 |
動作 |
|---|---|
|
AUR_BYTE |
データはバイト数単位 (1 バイト) |
|
AUR_SHORT |
データは短い形式の単位 (2 バイト) |
|
AUR_LONG |
データは長い形式の単位 (4 バイト) |
arg トークン
arg トークンには、システムコールの引数の数、引数の値、省略可能な記述テキスト文字列など、システムコールの引数情報が入っています。このトークンを使用すると、監査レコード内で 32 ビット整数のシステムコール引数を指定できます。arg トークンには 5 つのフィールドがあります。このトークンを arg トークンとして識別するトークン ID、システムコールにトークンの参照先となる引数を指示する引数 ID、引数の値、記述テキスト文字列の長さ、テキスト文字列の 5 つです。図 A-4 はトークンの形式を示しています。
図 A-4 arg トークンの形式
attr トークン
attr トークンには、ファイル v ノードからの情報が入っています。このトークンには 7 つのフィールドがあります。このトークンを attr トークンとして識別するトークン ID、ファイルのアクセスモードとタイプ、所有者ユーザ ID、所有者グループ ID、ファイルシステム ID、i ノード ID、ファイルが表すデバイス ID の 7 つです。ファイルシステム ID とデバイス ID について詳しくは、statvfs(2) のマニュアルページを参照してください。一般に、このトークンには path トークンが付いており、パスの検索中に生成されます。パス検索エラーが発生すると、必要なファイル情報を取得するために利用できる v ノードがないので、このトークンは監査レコードの一部として組み込まれません。図 A-5 は、attr トークンの形式を示しています。
図 A-5 attr トークンの形式
exec_args トークン
exec_args トークンは、exec システムコールへの引数を記録します。exec_args レコードには、2 つの固定長フィールドがあります。一方は、これを exec_args トークンとして識別するトークン ID フィールドです。他方は、exec コールに渡される引数の数を表すカウントフィールドです。トークンの残りの部分は、0 個以上の NULL で終わる文字列からなっています。図 A-6 は、exec_args トークンを示します。
図 A-6 exec_args トークンの形式
注 -
exec_args トークンは、監査方針 argv が有効なときにのみ出力されます。詳しくは、「監査方針の設定」を参照してください。
exec_env トークン
exec_env トークンは、exec システムコールの現在の環境変数を記録します。exec_env レコードには 2 つの固定長フィールドがあります。一方は、これを exec_env トークンとして識別するトークン ID です。他方は、exec コールに渡される引数の数を表すカウントフィールドです。トークンの残りの部分は、0 個以上の NULL で終わる文字列からなっています。図 A-7 は、exec_env トークンを示しています。
図 A-7 exec_env トークンの形式
注 -
exec_env トークンは、監査方針 arge が有効なときにのみ出力されます。詳しくは、「監査方針の設定」を参照してください。
exit トークン
exit トークンは、プログラムの終了状態を記録します。exit トークンには、プログラムの終了状態と戻り値が入っています。状態フィールドは exit システムコールに渡されるものと同じです。戻り値フィールドは、システムのエラー番号、または終了状態を詳細に記述する戻り値を示します。図 A-8 は、exit トークンを示しています。
図 A-8 exit トークンの形式
file トークン
file トークンは、新しい監査トレールファイルの始まりと無効になる古いファイルの終りをマークするために、監査デーモンによって生成される特殊なトークンです。監査デーモンは、このトークンが入った特殊な監査レコードを構築して、連続する監査ファイルを 1 つの監査トレールに「リンク」します。file トークンには 4 つのフィールドがあります。第 1 はこれを file トークンとして識別するトークン ID、第 2 はファイルが作成されるかクローズされた時刻を示す日時のスタンプ、第 3 は NULL で終わる文字列を含むファイル名のバイト数、第 4 は NULL で終わる名前が入ったフィールドです。 図 A-9 は file トークンを示しています。
図 A-9 file トークンの形式
groups トークン (使用しません)
このトークンは、newgroups トークンに置き換えられています。newgroups トークンは同じタイプの情報をわずかな領域で提供します。ここでは完全を期すために groups トークンについて説明しますが、アプリケーション設計者は newgroups トークンを使用する必要があります。ASCII 形式の出力が表示されるときには、どちらのトークン ID にも groups というラベルが付いているため、praudit はこの 2 つのトークンを区別しないので注意してください。
groups トークンは、プロセスの資格からグループのエントリを記録します。groups トークンには 2 つの固定長フィールドがあります。一方は、これを groups トークンとして識別するトークン ID で、他方はこの監査レコードに入っているグループの数を表すカウントです。図 A-10 は groups トークンを示しています。
図 A-10 groups トークンの形式
注 -
groups トークンは、監査方針 group が有効なときにのみ出力されます。詳しくは、「auditconfig コマンド」を参照してください。
header トークン
header トークンは、監査レコードの始まりをマークし、trailer トークンとの組合せでレコード内の他のすべてのトークンを囲むという点で特殊です。header トークンには 6 つのフィールドがあります。これを header トークンとして識別するトークン IDフィールド、ヘッダとトレーラを含めた監査レコードの長さ合計を示すバイト数、監査レコード構造のバージョンを識別するバージョン番号、レコードが表す監査イベントのタイプを識別する監査イベント ID、イベントのタイプに関する補助記述情報が入ったイベント ID 修飾子、レコードの作成日時の 6 つです。図 A-11は header トークンを示しています。
図 A-11 header トークンの形式
イベント修飾子フィールドでは、次のフラグが定義されています。
0x4000 PAD_NOTATTR nonattributable event 0x8000 PAD_FAILURE fail audit event
in_addr トークン
in_addr トークンには、インターネットアドレスが入っています。この 4 バイト値はインターネットプロトコルアドレスです。このトークンには 2 つのフィールドがあります。一方はこのトークンを in_addr トークンとして識別するトークン ID で、他方はインターネットアドレスです。図 A-12 は in_addr トークンを示しています。
図 A-12 in_addr トークンの形式
ip トークン
ip トークンには、インターネットプロトコルのヘッダのコピーが入っていますが、IP オプションは含まれていません。IP オプションは、トークン内の IP ヘッダ数を増やせば追加できます。このトークンには 2 つのフィールドがあります。一方はこれを ip トークンとして識別するトークン ID で、他方は IP ヘッダ (すべて 20 バイト) のコピーです。IP ヘッダ構造は、/usr/include/netinet/ip.h 内で定義されています。図 A-13は ip トークンを示しています。
図 A-13 ip トークンの形式
ipc トークン
ipc トークンには、呼び出し元で特定の IPC オブジェクトを識別するための System V IPC メッセージ/セマフォ/共有メモリハンドルが入っています。このトークンには 3 つのフィールドがあります。第 1 はこれを ipc トークンとして識別するトークン ID、第 2 は IPC オブジェクトのタイプを指定するタイプフィールド、第 3 は IPC オブジェクトを識別するハンドルです。図 A-14は ipc トークンを示しています。
図 A-14 ipc トークンの形式
注 -
IPC オブジェクト識別子は Solaris CMW 監査トークンのコンテキストに依存しない性質に違反しています。IPC オブジェクトを一意に識別するグローバルな「名前」はありません。代わりに、IPC オブジェクトが使用可能な間だけ有効なハンドルで識別されます。System V の IPC メカニズムはあまり使用されず、すべてが同じ監査クラスを共有するので、識別は問題ではないはずです。
IPC オブジェクトタイプフィールドには、表 A-4 のような値が入っています。値は /usr/include/bsm/audit.h 内で定義されます。
表 A-4 IPC オブジェクトタイプフィールド|
名前 |
値 |
記述 |
|---|---|---|
|
AU_IPC_MSG |
1 |
IPC メッセージオブジェクト |
|
AU_IPC_SEM |
2 |
IPC セマフォオブジェクト |
|
AU_IPC_SHM |
3 |
IPC 共有メモリオブジェクト |
ipc_perm トークン
ipc_perm トークンには、System V の IPC アクセス情報が入っています。このトークンは、共有メモリ、セマフォ、メッセージの IPC イベントによって生成された監査レコードに追加されます。このトークンには 8 つのフィールドがあります。具体的には、このトークンを ipc_perm トークンとして識別するトークン ID、IPC 所有者のユーザ ID、IPC 所有者のグループ ID、IPC 作成者のユーザ ID、IPC 作成者のグループ ID、IPC のアクセスモード、IPC のシーケンス番号、IPC キー値の 8 つです。値は、IPC オブジェクトに関連付けられた ipc_perm 構造から取り出されます。図 A-15 は ipc_perm トークンの形式を示しています。
図 A-15 ipc_perm トークンの形式
iport トークン
iport トークンには、TCP (または UDP) ポートアドレスが入っています。このトークンには 2 つのフィールドがあります。一方はこれを iport トークンとして識別するトークン ID で、他方は TCP/UDP ポートアドレスです。図 A-16 は iport トークンを示しています。
図 A-16 iport トークンの形式
newgroups トークン
このトークンは、groups トークンに代わるものです。ASCII 出力が表示されるときには、どちらのトークン ID にも groups というラベルが付いているため、praudit はこの 2 つのトークンを区別しないので注意してください。
newgroups トークンは、プロセスの資格からグループエントリを記録します。newgroups トークンには 2 つの固定長フィールドがあります。一方はこれを newgroups トークンとして識別するトークン ID で、他方はこの監査レコードに入っているグループの数を表すカウントです。このトークンの残りの部分は 0 個以上のグループエントリからなっています。図 A-17 は newgroups トークンを示しています。
図 A-17 newgroups トークンの形式
注 -
newgroups トークンは、監査方針 group が有効なときにのみ出力されます。詳しくは、「auditconfig コマンド」を参照してください。
opaque トークン
opaque トークンには、フォーマットされていないデータが一連のバイトとして入っています。このトークンには 3 つのフィールドがあります。これを opaque トークンとして識別するトークン ID、データ量を表すバイト数、バイトデータの配列の 3 つです。図 A-18 は、opaque トークンを示しています。
図 A-18 opaque トークンの形式
path トークン
path トークンには、オブジェクトのアクセスパス情報が入っています。このトークンには、トークン ID の他にシステムの実ルートに基づくオブジェクトへの絶対パスが入っています。パスは、パス長を示すバイト数とパスからなっています。図 A-19 は path トークンを示しています。
図 A-19 path トークンの形式
process トークン
process トークンには、信号の受信側など、プロセスをオブジェクトとして記述する情報が入っています。このトークンには 9 つのフィールドがあります。このトークンを process トークンとして識別するトークン ID、不変の (invariant) 監査 ID、実効ユーザ ID、実効グループ ID、実ユーザ ID、実グループ ID、プロセス ID、監査セッション ID、端末 ID の 9 つです。図 A-20 は process トークンを示しています。
図 A-20 process トークンの形式
監査 ID、ユーザ ID、グループ ID、プロセス ID、端末 ID は、短い形式ではなく長い形式です。
注 -
セッション ID、実ユーザ ID、または実グループ ID に process トークンのフィールドを使用できないことがあります。その場合、エントリは -1 に設定されます。
return トークン
return トークンには、システムコールの戻り状態 (u_error) とプロセスの戻り値 (u_rval1) が入っています。このトークンには 3 つのフィールドがあります。第 1 はこのトークンを return トークンとして識別するトークン ID、第 2 はシステムコールのエラー状態、第 3 はシステムコールの戻り値です。このトークンは、必ずシステムコールに関してカーネルによって生成される監査レコードの一部として返されます。このトークンは、アプリケーションを監査中の終了状態と他の戻り値を示します。図 A-21 は return トークンを示しています。
図 A-21 return トークンの形式
seq トークン
seq トークン (シーケンストークン) は、昇順のシーケンス番号が入った省略可能なトークンです。このトークンはデバッグ用です。AUDIT_SEQ 方針が有効になっているときは、各監査レコードにこのトークンが追加されます。seq トークンには 2 つのフィールドがあります。一方はこのトークンを seq トークンとして識別するトークン ID で、他方はシーケンス番号が入った 32 ビットの無符号長形式フィールドです。シーケンス番号は、監査レコードが生成されて監査レコードに組み込まれるたびに 1 ずつ増やされます。図 A-22 は、seq トークンを示しています。
図 A-22 seq トークンの形式
socket トークン
socket トークンには、インターネットソケットを記述する情報が入っています。socket トークンには 6 つのフィールドがあります。つまり、このトークンを socket トークンとして識別するトークン ID、参照されるソケットのタイプ (TCP/UDP/UNIX) を示すソケットタイプフィールド、ローカルポートアドレス、ローカルインターネットアドレス、リモートポートアドレス、リモートインターネットアドレスです。図 A-23 は、socket トークンを示しています。
図 A-23 socket トークンの形式
socket-inet トークン
socket-inet トークンは、ローカルポートへのソケット接続を記述します。これは、インターネットの名前空間内でソケット情報を表すために使用されます。socket-inet トークンには 4 つのフィールドがあります。つまり、このトークンを socket-inet トークンとして識別するトークン ID、インターネットファミリー (AF_INET、AF_OSI など) を示すソケットファミリーフィールド、ローカルポートのアドレス、ソケットのアドレスです。図 A-24 は socket-inet トークンを示しています。
図 A-24 socket-inet トークンの形式
subject トークン
subject トークンは、サブジェクト (プロセス) を記述します。構造は process トークンと同じです。このトークンには 9 つのフィールドがあります。つまり、これを subject トークンとして識別する ID、不変の監査 ID、実効ユーザ ID、実効グループ ID、実ユーザ ID、実グループ ID、プロセス ID、監査セッション ID、端末 ID です。このトークンは、必ずシステムコールに関してカーネルによって生成される監査レコードの一部として返されます。図 A-25 は subject トークンを示しています。
図 A-25 subject トークンの形式
監査 ID、ユーザ ID、グループ ID、プロセス ID、端末 ID は、短い形式ではなく長い形式です。
注 -
subject セッション ID、実ユーザ ID、または実グループ ID に subject トークンのフィールドを使用できないことがあります。その場合、エントリは -1 に設定されます。
text トークン
text トークンにはテキスト文字列が入っています。このトークンには 3 つのフィールドがあります。つまり、このトークンを text トークンとして識別するトークン ID、テキスト文字列の長さ、テキスト文字列そのものです。図 A-26 は text トークンを示しています。
図 A-26 text トークンの形式
trailer トークン
header 、 trailer という 2 つのトークンは、監査レコードの終端を区別し、他のすべてのトークンを囲むという点で特殊です。trailer トークンは監査レコードを終了させます。これは省略可能なトークンであり、AUDIT_TRAIL 監査方針が設定されているときにのみ、各レコードの最後のトークンとして追加されます。
trailer トークンは、監査レコードの終端をマークするという点で特殊です。 trailer トークンは header トークンとの組合せによって監査レコードを区切ります。また、trailer トークンを使用すると監査トレールを逆方向に検索できます。trailer トークンには、3 つのフィールドがあります。つまり、このトークンを trailer トークンとして識別するトークン ID、レコードの終わりをマークしやすくするパッド番号、header トークンと trailer トークンを含めた監査レコード内の合計文字数です。図 A-27 は trailer トークンを示しています。
図 A-27 trailer トークンの形式
監査トレール分析ソフトウェアによって、各レコードに header と trailer の両方が入ることが保証されます。ファイルシステムがいっぱいのときなど、書き込みエラーが発生すると、監査レコードが不完全になって切り捨てられることがあります。auditsvc は監査トレールへのデータ書き込みを受け持つシステムコールであり、完全な監査レコードを取り出そうとします。auditsvc(2) のマニュアルページを参照してください。ファイルシステムの領域が足りなくなると、コールは現在の監査レコードを解放せずに終了します。コールが再開するときには、切り捨てたレコードを反復できます。
監査レコード
この節では、すべての監査レコードを紹介します。まず、カーネルのイベントによって生成される監査レコードについて説明します( 「カーネルレベルで生成される監査レコード」を参照。)。その次に、ユーザレベルのイベントによって生成される監査レコードについて説明します( 「ユーザレベルで生成される監査レコード」を参照)。
「イベントからシステムコールへの変換」 には、考えられるすべての監査イベントと、どのカーネルベントやユーザイベントによって監査イベントが作成されたかを識別する 2 つの表が掲載さています。表 A-192 は、監査イベントとシステムコールとのマッピングを示しています。表 A-193 は、監査イベントとアプリケーションまたはコマンドとのマッピングを示しています。
一般的な監査レコードの構造
基本セキュリティモジュールによって生成される監査レコードには、一連のトークンが入っています。現在の監査方針に従って、特定のトークンは監査レコード内で省略できます。group、sequence、trailer の各トークンは、いずれもこのカテゴリに該当します。管理者は、auditconfig コマンドの -getpolicy オプションを使用して、これらのトークンが監査レコードに入っているかどうかを判断できます。
カーネルレベルで生成される監査レコード
カーネルに使用されるシステムコールによって、次の監査レコードが作成されます。各レコードは、システムコールのアルファベット順に掲載してあります。各レコードの説明には次の情報が含まれています。
-
システムコール名
-
参照先のマニュアルページ (該当する場合)
-
監査イベント番号 (ID)
-
監査イベント名
-
監査イベントクラス
-
イベントクラスのマスク
-
監査レコード構造
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_ACCEPT |
33 |
nt |
0x00000100 |
|
形式 (ソケットアドレスが AF_INET ファミリの一部ではない場合) :
header-token
arg-token (1, "fd", file descriptor)
text-token ("bad socket address")
text-token ("bad peer address")
subject-token
return-token
形式 (ソケットアドレスが AF_INET ファミリの一部である場合) :
header-token 以下のファイル記述子に vnode がない場合 :
[arg-token] (1, "Bad fd", file descriptor) または、ソケットが結合していない場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("socket not bound")
または、ソケットアドレス長が 0 である場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("bad socket address")
上記以外の場合 :
[socket-inet-token] ("socket address")
socket-inet-token ("socket address")
subject-token
return-token
|
|||
表 A-6 access(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_ACCESS |
14 |
fa |
0x00000004 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-7 acl(2) - SETACL コマンド
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_ACLSET |
251 |
fm |
0x00000008 |
|
形式 :
header-token
arg-token (2, "cmd", SETACL)
arg-token (3, "nentries", number of ACL entries)
(0..n)[acl-token] (ACLs)
subject-token
return-token
|
|||
表 A-8 acct(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_ACCT |
18 |
ad |
0x00000800 |
|
形式 (zero path) :
header-token
argument-token (1, "accounting off", 0)
subject-token
return-token
形式 (non-zero path) :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-9 adjtime(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_ADJTIME |
50 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-10 audit(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDIT |
211 |
no |
0x00000000 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-11 auditon(2) - get car
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_GETCAR |
224 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-12 auditon(2) - get event class
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_GETCLASS |
231 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-13 auditon(2) - get audit state
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_GETCOND |
229 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-14 auditon(2) - get cwd
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_GETCWD |
223 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-15 auditon(2) - get kernal mask
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_GETKMASK |
221 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-16 auditon(2) - get audit statistics
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_GETSTAT |
225 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-17 auditon(2) - GPOLICY command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_GPOLICY |
114 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-18 auditon(2) - GQCTRL command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_GQCTRL |
145 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-19 auditon(2) - set event class
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_SETCLASS |
232 |
ad |
0x00000800 |
|
形式 :
header-token
[argument-token] (2, "setclass:ec_event", event number)
[argument-token] (3, "setclass:ec_class", class mask)
subject-token
return-token
|
|||
表 A-20 auditon(2) - set audit state
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_SETCOND |
230 |
ad |
0x00000800 |
|
形式 :
header-token
[argument-token] (3, "setcond", audit state)
subject-token
return-token
|
|||
表 A-21 auditon(2) - set kernal mask
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_SETKMASK |
222 |
ad |
0x00000800 |
|
形式 :
header-token
[argument-token] (2, "setkmask:as_success", kernel mask)
[argument-token] (2, "setkmask:as_failure", kernel mask)
return-token
|
|||
表 A-22 auditon(2) - set mask per session ID
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_SETSMASK |
228 |
ad |
0x00000800 |
|
形式 :
header-token
[argument-token] (3, "setsmask:as_success", session ID mask)
[argument-token] (3, "setsmask:as_failure", session ID mask)
subject-token
return-token
|
|||
表 A-23 auditon(2) - reset audit statistics
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_SETSTAT |
226 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-24 auditon(2) - set mask per uid
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_SETUMASK |
227 |
ad |
0x00000800 |
|
形式 :
header-token
[argument-token] (3, "setumask:as_success", audit ID mask)
[argument-token] (3, "setumask:as_failure", audit ID mask)
subject-token
return-token
|
|||
表 A-25 auditon(2) - SPOLICY command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_SPOLICY |
147 |
ad |
0x00000800 |
|
形式 :
header-token
[argument-token] (1, "policy", audit policy flags)
subject-token
return-token
|
|||
表 A-26 auditon(2) - SQCTRL command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITON_SQCTRL |
146 |
ad |
0x00000800 |
|
形式 :
header-token
[argument-token] (3,"setqctrl:aq_hiwater",queue control param.)
[argument-token] (3,"setqctrl:aq_lowater",queue control param.)
[argument-token] (3,"setqctrl:aq_bufsz",queue control param.)
[argument-token] (3,"setqctrl:aq_delay",queue control param.)
subject-token
return-token
|
|||
表 A-27 auditsvc(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_AUDITSVC |
136 |
ad |
0x00000800 |
|
形式 (valid file descriptor) :
header-token
[path-token]
[attr-token]
subject-token
return-token
形式 (invalid file descriptor) :
header-token
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
|||
表 A-28 bind(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_BIND |
34 |
nt |
0x00000100 |
|
形式 :
header-token 以下のファイル記述子に vnode がない場合 :
[arg-token] (1, "Bad fd", file descriptor) または、ソケットが AF_INET ファミリではない場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("bad socket address")
上記以外の場合 :
[arg-token (1, "fd", file descriptor)
socket-inet-token] ("socket address")
subject-token
return-token
|
|||
表 A-29 chdir(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_CHDIR |
8 |
pc |
0x00000080 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-30 chmod(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_CHMOD |
10 |
fm |
0x00000008 |
|
形式 :
header-token
argument-token (2, "new file mode", mode)
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-31 chown(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_CHOWN |
11 |
fm |
0x00000008 |
|
形式 :
header-token
argument-token (2, "new file uid", uid)
argument-token (3, "new file gid", gid)
path-token
[attr-token]
subject-token
return-token |
|||
表 A-32 chroot(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_CHROOT |
24 |
pc |
0x00000080 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-33 close(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_CLOSE |
112 |
cl |
0x00000040 |
|
形式 :
<file system object>
header-token
argument-token (1, "fd", file descriptor)
[path-token]
[attr-token]
subject-token
return-token
|
|||
表 A-34 connect(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_CONNECT |
32 |
nt |
0x00000100 |
|
形式 (ソケットアドレスが AF_INET ファミリの一部ではない場合) :
header-token
arg-token (1, "fd", file descriptor)
text-token ("bad socket address")
text-token ("bad peer address")
subject-token
return-token
形式 (ソケットアドレスが AF_INET ファミリの一部である場合) :
header-token 以下のファイル記述子に vnode がない場合 :
[arg-token] (1, "Bad fd", file descriptor) または、ソケットが結合していない場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("socket not bound")
または、ソケットアドレス長が 0 である場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("bad socket address")
上記以外の場合 :
[socket-inet-token] ("socket address")
socket-inet-token ("socket address")
subject-token
return-token
|
|||
表 A-35 creat(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_CREAT |
4 |
fc |
0x00000010 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-36 doorfs(2) - DOOR_BIND
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_DOORFS_DOOR_BIND |
260 |
ip |
0x00000200 |
|
形式 :
header-token
arg-token (1, "door ID", door ID)
subject-token
return-token
|
|||
表 A-37 doorfs(2) - DOOR_CALL
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_DOORFS_DOOR_CALL |
254 |
ip |
0x00000200 |
|
形式 :
header-token
arg-token (1, "door ID", door ID)
process-token (for process that owns the door)
subject-token
return-token
|
|||
表 A-38 doorfs(2) - DOOR_CREATE
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_DOORFS_DOOR_CREATE |
256 |
ip |
0x00000200 |
|
形式 :
header-token
arg-token (1, "door attr", door attributes)
subject-token
return-token
|
|||
表 A-39 doorfs(2) - DOOR_CRED
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_DOORFS_DOOR_CRED |
259 |
ip |
0x00000200 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-40 doorfs(2) - DOOR_INFO
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_DOORFS_DOOR_INFO |
258 |
ip |
0x00000200 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-41 doorfs(2) - DOOR_RETURN
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_DOORFS_DOOR_RETURN |
255 |
ip |
0x00000200 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-42 doorfs(2) - DOOR_REVOKE
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_DOORFS_DOOR_REVOKE |
257 |
ip |
0x00000200 |
|
形式 :
header-token
arg-token (1, "door ID", door ID)
subject-token
return-token
|
|||
表 A-43 doorfs(2) - DOOR_UNBIND
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_DOORFS_DOOR_UNBIND |
261 |
ip |
0x00000200 |
|
形式 :
header-token
arg-token (1, "door ID", door ID)
subject-token
return-token
|
|||
表 A-44 enter prom
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_ENTERPROM |
153 |
na |
0x00000400 |
|
形式 :
header-token
text-token (addr, "monitor PROM"|"kadb")
subject-token
return-token
|
|||
表 A-45 exec(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_EXEC |
7 |
pc,ex |
0x40000080 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-46 execve(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_EXECVE |
23 |
pc,ex |
0x40000080 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-47 exit prom
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_EXITPROM |
154 |
na |
0x00000400 |
|
形式 :
header-token
text-token (addr, "monitor PROM"|"kadb")
subject-token
return-token
|
|||
表 A-48 exit(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_EXIT |
1 |
pc |
0x00000080 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-49 facl(2) - SETACL コマンド
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_FACLSET |
252 |
fm |
0x00000008 |
|
形式 (zero path) :
header-token
arg-token (2, "cmd", SETACL)
arg-token (3, "nentries", number of ACL entries)
arg-token (1, "no path: fd", file descriptor)
(0..n)[acl-token] (ACLs)
subject-token
return-token
形式 (non-zero path) :
header-token
arg-token (2, "cmd", SETACL)
arg-token (3, "nentries", number of ACL entries)
path-token
[attr-token]
(0..n)[acl-token] (ACLs)
subject-token
return-token
|
|||
表 A-50 fchdir(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_FCHDIR |
68 |
pc |
0x00000080 |
|
形式 :
header-token
[path-token]
[attr-token]
subject-token
return-token
|
|||
表 A-51 fchmod(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_FCHMOD |
39 |
fm |
0x00000008 |
|
形式 (valid file descriptor) :
header-token
argument-token (2, "new file mode", mode)
[path-token]
[attr-token]
subject-token
return-token
形式 (invalid file descriptor) :
header-token
argument-token (2, "new file mode", mode)
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
|||
表 A-52 fchown(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_FCHOWN |
38 |
fm |
0x00000008 |
|
形式 (valid file descriptor) :
header-token (2, "new file uid", uid)
argument-token (3, "new file gid", gid)
[path-token]
[attr-token]
subject-token
return-token
形式 (non-file descriptor) :
header-token
argument-token (2, "new file uid", uid)
argument-token (3, "new file gid", gid)
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
|||
表 A-53 fchroot(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_FCHROOT |
69 |
pc |
0x00000080 |
|
形式 :
header-token
[path-token]
[attr-token]
subject-token
return-token
|
|||
表 A-54 fcntl(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_FCNTL (cmd=F_GETLK, F_SETLK, F_SETLKW) |
30 |
fm |
0x00000008 |
|
形式 (file descriptor) :
header-token
argument-token (2, "cmd", cmd)
path-token
attr-token
subject-token
return-token
形式 (bad file descriptor) :
header-token
argument-token (2, "cmd", cmd)
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
|||
表 A-55 fork(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_FORK |
2 |
pc |
0x00000080 |
|
形式 :
header-token
[argument-token] (0, "child PID", pid)
subject-token
return-token
監査レコードは子プロセスが生成された時点で生成されるため、fork() の戻り値は 不定なので注意する必要がある
|
|||
表 A-56 fork1(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_FORK1 |
241 |
pc |
0x00000080 |
|
形式 :
header-token
[argument-token] (0, "child PID", pid)
subject-token
return-token
監査レコードは子プロセスが生成された時点で生成されるため、fork1() の戻り値は 不定なので注意する必要がある
|
|||
表 A-57 fstatfs(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_FSTATFS |
55 |
fa |
0x00000004 |
|
形式 (file descriptor) :
header-token
[path-token]
[attr-token]
subject-token
return-token
形式 (non-file descriptor) :
header-token
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
|||
表 A-58 getaudit(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_GETAUDIT |
132 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-59 getauid(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_GETAUID |
130 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-60 getmsg(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_GETMSG |
217 |
nt |
0x00000100 |
|
形式 :
header-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
|||
表 A-61 getmsg - accept
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SOCKACCEPT |
247 |
nt |
0x00000100 |
|
形式 :
header-token
socket-inet-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
|||
表 A-62 getmsg - receive
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SOCKRECEIVE |
250 |
nt |
0x00000100 |
|
形式 :
header-token
socket-inet-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
|||
表 A-63 getpmsg(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_GETPMSG |
219 |
nt |
0x00000100 |
|
形式 :
header-token
argument-token (1, "fd", file descriptor)
subject-token
return-token |
|||
表 A-64 getportaudit(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_GETPORTAUDIT |
149 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token |
|||
表 A-65 inst_sync(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_INST_SYNC |
264 |
ad |
0x00000800 |
|
形式 :
header-token
arg-token (2, "flags", flags value)
subject-token
return-token
|
|||
表 A-66 ioctl(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_IOCTL |
158 |
io |
0x20000000 |
|
形式 (good file descriptor) :
header-token
path-token
[attr-token]
argument-token (2, "cmd" ioctl cmd)
argument-token (3, "arg" ioctl arg)
subject-token
return-token
形式 (socket) :
header-token
[socket-token]
argument-token (2, "cmd" ioctl cmd)
argument-token (3, "arg" ioctl arg)
subject-token
return-token
形式 (non-file file descriptor) :
header-token
argument-token (1, "fd", file descriptor)
argument-token (2, "cmd", ioctl cmd)
argument-token (3, "arg", ioctl arg)
subject-token
return-token
形式 (bad file name) :
header-token
argument-token (1, "no path: fd", fd)
argument-token (2, "cmd", ioctl cmd)
argument-token (3, "arg", ioctl arg)
subject-token
return-token |
|||
表 A-67 kill(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_KILL |
15 |
pc |
0x00000080 |
|
形式 (valid process) :
header-token
argument-token (2, "signal", signo)
[process-token]
subject-token
return-token
形式 (zero or negative process) :
header-token
argument-token (2, "signal", signo)
argument-token (1, "process", pid))
subject-token
return-token
|
|||
表 A-68 lchown(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_LCHOWN |
237 |
fm |
0x00000008 |
|
形式 :
header-token
argument-token (2, "new file uid", uid)
argument-token (3, "new file gid", gid)
path-token
[attr-token]
subject-token
return-token |
|||
表 A-69 link(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_LINK |
5 |
fc |
0x00000010 |
|
形式 :
header-token
path-token (from path)
[attr-token] (from path)
path-token (to path)
subject-token
return-token
|
|||
表 A-70 lstat(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_LSTAT |
17 |
fa |
0x00000004 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token |
|||
表 A-71 lxstat(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_LXSTAT |
236 |
fa |
0x00000004 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-72 memcntl(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MEMCNTL |
238 |
ot |
0x80000000 |
|
形式 :
header-token
argument-token (1, "base", base address)
argument-token (2, "len", length)
argument-token (3, "cmd", command)
argument-token (4, "arg", command args
argument-token (5, "attr", command attributes)
argument-token (6, "mask", 0)
subject-token
return-token
|
|||
表 A-73 mkdir(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MKDIR |
47 |
fc |
0x00000010 |
|
形式 :
header-token
argument-token (2, "mode", mode)
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-74 mknod(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MKNOD |
9 |
fc |
0x00000010 |
|
形式 :
header-token
argument-token (2, "mode", mode)
argument-token (3, "dev", dev)
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-75 mmap(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MMAP |
210 |
no |
0x00000000 |
|
形式 (valid file descriptor) :
header-token
argument-token (1, "addr", segment address)
argument-token (2, "len", segment length)
[path-token]
[attr-token]
subject-token
return-token
形式 (invalid file descriptor) :
header-token
argument-token (1, "addr", segment address)
argument-token (2, "len", segment length)
argument-token (1, "no path: fd", fd)
subject-token
return-token
|
|||
表 A-76 modctl(2) - bind module
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MODADDMAJ |
246 |
ad |
0x00000800 |
|
形式 :
header-token
[text-token] (driver major number)
[text-token] (driver name)
text-token (root dir.|"no rootdir")
text-token (driver major number|"no drvname")
argument-token (5, "", number of aliases)
(0..n)[text-token] (aliases)
subject-token
return-token
|
|||
表 A-77 modctl(2) - configure module
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MODCONFIG |
245 |
ad |
0x00000800 |
|
形式 :
header-token
text-token (root dir.|"no rootdir")
text-token (driver major number|"no drvname")
subject-token
return-token
|
|||
表 A-78 modctl(2) - load module
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MODLOAD |
243 |
ad |
0x00000800 |
|
形式 :
header-token
[text-token] (default path)
text-token (filename path)
subject-token
return-token
|
|||
表 A-79 modctl(2) - unload module
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MODUNLOAD |
244 |
ad |
0x00000800 |
|
形式 :
header-token
argument-token (1, "id", module ID)
subject-token
return-token
|
|||
表 A-80 mount(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MOUNT |
62 |
ad |
0x00000800 |
|
形式 (UNIX file system) :
header-token
argument-token (3, "flags", flags)
text-token (filesystem type)
path-token
[attr-token]
subject-token
return-token
形式 (NFS file system) :
header-token
argument-token (3, "flags", flags)
text-token (filesystem type)
text-token (host name)
argument-token (3, "internal flags", flags)
|
|||
表 A-81 msgctl(2) - IPC_RMID command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MSGCTL_RMID |
85 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-82 msgctl(2) - IPC_SET command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MSGCTL_SET |
86 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-83 msgctl(2) - IPC_STAT command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MSGCTL_STAT |
87 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-84 msgget(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MSGGET |
88 |
ip |
0x00000200 |
|
形式 :
header-token
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-85 msgrcv(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MSGRCV |
89 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-86 msgsnd(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MSGSND |
90 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "msg ID", message ID)
[ipc-token]
subject-token
return-token
msg ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-87 munmap(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_MUNMAP |
214 |
cl |
0x00000040 |
|
形式 :
header-token
argument-token (1, "addr", address of memory)
argument-token (2, "len", memory segment size)
subject-token
return-token
|
|||
表 A-88 old nice(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_NICE |
203 |
pc |
0x00000080 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-89 open(2) - read
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_R |
72 |
fr |
0x00000001 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-90 open(2) - read,creat
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_RC |
73 |
fc,fr |
0x00000011 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-91 open(2) - read,creat,trunc
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_RTC |
75 |
fc,fd,fr |
0x00000031 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-92 open(2) - read,trunc
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_RT |
74 |
fd,fr |
0x00000021 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-93 open(2) - read,write
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_RW |
80 |
fr,fw |
0x00000003 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-94 open(2) - read,write,creat
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_RWC |
81 |
fr,fw,fc |
0x00000013 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-95 open(2) - read,write,create,trunc
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_RWTC |
83 |
fr,fw,fc,fd |
0x00000033 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-96 open(2) - read,write,trunc
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_RWT |
82 |
fr,fw,fd |
0x00000023 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-97 open(2) - write
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_W |
76 |
fw |
0x00000002 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-98 open(2) - write,creat
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_WC |
77 |
fw,fc |
0x00000012 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-99 open(2) - write,creat,trunc
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_WTC |
79 |
fw,fc,fd |
0x00000032 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-100 open(2) - write,trunc
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OPEN_WT |
78 |
fw,fd |
0x00000022 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-101 p_online(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_P_ONLINE |
262 |
ad |
0x00000800 |
|
header-token
arg-token (1, "processor ID", processor ID)
arg-token (2, "flags", flags value)
text-token (text form of flags value: P_ONLINE, P_OFFLINE, P_STATUS)
subject-token
return-token
|
|||
表 A-102 pathconf(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_PATHCONF |
71 |
fa |
0x00000004 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-103 pipe(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_PIPE |
185 |
no |
0x00000000 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-104 priocntlsys(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_PRIOCNTLSYS |
212 |
pc |
0x0000080 |
|
形式 :
header-token
argument-token (1, "pc_version", priocntl version num.)
argument-token (3,"cmd", command)
subject-token
return-token
|
|||
表 A-105 process dumped core
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_CORE |
111 |
fc |
0x0000010 |
|
形式 :
header-token
path-token
[attr-token]
argument-token (1, "signal", signal)
subject-token
return-token
|
|||
表 A-106 processor_bind(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_PROCESSOR_BIND |
263 |
ad |
0x00000800 |
|
形式 (プロセッサ結合なし) :
header-token
arg-token (1, "ID type", type of ID)
arg-token (2, "ID", ID value)
text-token ("PBIND_NONE")
process-token (for process whose threads are bound to the processor)
subject-token
return-token
形式 (プロセッサ結合あり) :
header-token
arg-token (1, "ID type", type of ID)
arg-token (2, "ID", ID value)
arg-token (3, "processor ID", processor ID)
process-token (for process whose threads are bound to the processor)
subject-token
return-token
|
|||
表 A-107 putmsg(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_PUTMSG |
216 |
nt |
0x00000100 |
|
形式 :
header-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
|||
表 A-108 putmsg-connect
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SOCKCONNECT |
248 |
nt |
0x00000100 |
|
形式 :
header-token
socket-inet-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
|||
表 A-109 putmsg-send
|
イベント 名 |
イベント ID |
EventClass |
マスク |
|---|---|---|---|
|
AUE_SOCKSEND |
249 |
nt |
0x00000100 |
|
形式 :
header-token
socket-inet-token
argument-token (1, "fd", file descriptor)
argument-token (4, "pri", priority)
subject-token
return-token
|
|||
表 A-110 putpmsg(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_PUTPMSG |
218 |
nt |
0x00000100 |
|
形式 :
header-token
argument-token (1, "fd", file descriptor)
subject-token
return-token
|
|||
表 A-111 readlink(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_READLINK |
22 |
fr |
0x00000001 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-112 rename(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_RENAME |
42 |
fc,fd |
0x00000030 |
|
形式 :
header-token
path-token (from name)
[attr-token] (from name)
[path-token] (to name)
subject-token
return-token
|
|||
表 A-113 rmdir(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_RMDIR |
48 |
fd |
0x00000020 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-114 semctl(2) - getall
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMCTL_GETALL |
105 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-115 semctl(2) - GETNCNT command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMCTL_GETNCNT |
102 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-116 semctl(2) - GETPID command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMCTL_GETPID |
103 |
ip |
0x00000200 |
|
形式 :
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-117 semctl(2) - GETVAL command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMCTL_GETVAL |
104 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-118 semctl(2) - GETZCNT command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMCTL_GETZCNT |
106 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-119 semctl(2) - IPC_RMID command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMCTL_RMID |
99 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-120 semctl(2) - IPC_SET command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMCTL_SET |
100 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-121 semctl(2) - SETALL command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMCTL_SETALL |
108 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-122 semctl(2) - SETVAL command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMCTL_SETVAL |
107 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-123 semctl(2) - IPC_STAT command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMCTL_STAT |
101 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
|
|||
表 A-124 semget(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMGET |
109 |
ip |
0x00000200 |
|
形式 :
header-token
[ipc-token]
subject-token
return-token
システムコールが失敗した場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-125 semop(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SEMOP |
110 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "sem ID", semaphore ID)
[ipc-token]
subject-token
return-token
セマフォ ID が無効な場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-126 setaudit(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SETAUDIT |
133 |
ad |
0x00000800 |
|
形式 (有効なプログラムスタックのアドレス) :
header-token
argument-token (1, "setaudit:auid", audit user ID)
argument-token (1, "setaudit:port", terminal ID)
argument-token (1, "setaudit:machine", terminal ID)
argument-token (1, "setaudit:as_success", preselection mask)
argument-token (1, "setaudit:as_failure", preselection mask)
argument-token (1, "setaudit:asid", audit session ID)
subject-token
return-token
形式 (無効なプログラムスタックのアドレス) :
header-token
subject-token
return-token
|
|||
表 A-127 setauid(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SETAUID |
131 |
ad |
0x00000800 |
|
形式 :
header-token
argument-token (2, "setauid", audit user ID)
subject-token
return-token
|
|||
表 A-128 setegid(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SETEGID |
214 |
pc |
0x00000080 |
|
形式 :
header-token
argument-token (1, "gid", group ID)
subject-token
return-token
|
|||
表 A-129 seteuid(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SETEUID |
215 |
pc |
0x00000080 |
|
形式 :
header-token
argument-token (1, "gid", user ID)
subject-token
return-token
|
|||
表 A-130 old setgid(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SETGID |
205 |
pc |
0x00000080 |
|
形式 :
header-token
argument-token (1, "gid", group ID)
subject-token
return-token
|
|||
表 A-131 setgroups(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SETGROUPS |
26 |
pc |
0x00000080 |
|
形式 :
header-token
[argument-token] (1, "setgroups", group ID)
subject-token
return-token
グループセットごとに1つずつトークンがある
|
|||
表 A-132 setpgrp(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SETPGRP |
27 |
pc |
0x00000080 |
|
形式 :
header-token
subject-token
return-token |
|||
表 A-133 setregid(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SETREGID |
41 |
pc |
0x00000080 |
|
形式 :
header-token
arg-token (1, "rgid", real group ID)
arg-token (2, "egid", effective group ID)
subject-token
return-token
|
|||
表 A-134 setreuid(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SETREUID |
40 |
pc |
0x00000080 |
|
形式 :
header-token
arg-token (1, "ruid", real user ID)
arg-token (2, "euid", effective user ID)
subject-token
return-token
|
|||
表 A-135 setrlimit(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SETRLIMIT |
51 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token |
|||
表 A-136 old setuid(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_OSETUID |
200 |
pc |
0x00000080 |
|
形式 :
header-token
argument-token (1, "uid", user ID)
subject-token
return-token
監査ソフトウェアに現在含まれているバグの関係で、このトークンは AUE_OSETUID として 表示される |
|||
表 A-137 shmat(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SHMAT |
96 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "shmid", shared memory ID)
argument-token (2, "shmaddr", shared mem addr)
[ipc-token]
[ipc_perm-token]
subject-token
return-token
共有メモリのセグメント ID が無効な場合、ipc トークンと ipc_perm トークンは 含まれない |
|||
表 A-138 shmctl(2) - IPC_RMID command
表 A-139 shmctl(2) - IPC_SET command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SHMCTL_SET |
93 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "shmid", shared memory ID)
[ipc-token]
[ipc_perm-token]
subject-token
return-token
共有メモリのセグメント ID が無効な場合、ipc トークンと ipc_perm トークンは 含まれない
|
|||
表 A-140 shmctl(2) - IPC_STAT command
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SHMCTL_STAT |
94 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "shmid", shared memory ID)
[ipc-token]
subject-token
return-token
共有メモリのセグメント ID が無効な場合、ipc トークンと ipc_perm トークンは 含まれない |
|||
表 A-141 shmdt(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SHMDT |
97 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (1, "shmaddr", shared mem addr)
subject-token
return-token
|
|||
表 A-142 shmget(2)
|
イベント 名 |
イベント ID |
EventClass |
マスク |
|---|---|---|---|
|
AUE_SHMGET |
95 |
ip |
0x00000200 |
|
形式 :
header-token
argument-token (0, "shmid", shared memory ID)
[ipc-token]
[ipc_perm-token]
subject-token
return-token
失敗したイベントの場合、ipc トークンと ipc_perm トークンは含まれない
|
|||
表 A-143 shutdown(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SHUTDOWN |
46 |
nt |
0x00000100 |
|
形式 (ソケットアドレスが AF_INET ファミリの一部ではない場合) :
header-token
arg-token (1, "fd", file descriptor)
text-token] ("bad socket address")
text-token] ("bad peer address")
subject-token
return-token
形式 (ソケットアドレスが AF_INET ファミリの一部である場合) :
header-token 以下のファイル記述子に vnode がない場合 :
[arg-token] (1, "Bad fd", file descriptor) または、ソケットが結合していない場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("socket not bound")
または、ソケットアドレス長が 0 である場合 :
[arg-token (1, "fd", file descriptor)
text-token] ("bad socket address")
上記以外の場合 :
[socket-inet-token] ("socket address")
socket-inet-token ("socket address")
subject-token
return-token
|
|||
表 A-144 stat(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_STAT |
16 |
fa |
0x00000004 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-145 statfs(2)
|
イベント 名 |
イベント ID |
EventClass |
マスク |
|---|---|---|---|
|
AUE_STATFS |
54 |
fa |
0x00000004 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-146 statvfs(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_STATVFS |
234 |
fa |
0x00000004 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-147 stime(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_STIME |
201 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-148 symlink(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SYMLINK |
21 |
fc |
0x00000010 |
|
形式 :
header-token
text-token (symbolic link string)
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-149 sysinfo(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SYSINFO |
39 |
ad |
0x00000800 |
|
形式 :
header-token
argument-token (1, "cmd", command)
text-token (name)
subject-token
return-token
|
|||
表 A-150 system booted
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_SYSTEMBOOT |
113 |
na |
0x00000400 |
|
形式 :
header-token
text-token ("booting kernel")
return-token
|
|||
表 A-151 umount(2) - old version
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_UMOUNT |
12 |
ad |
0x00000800 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-152 unlink(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_UNLINK |
6 |
fd |
0x00000020 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-153 old utime(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_UTIME |
202 |
fm |
0x00000008 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-154 utimes(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_UTIMES |
49 |
fm |
0x00000008 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-155 utssys(2) - fusers
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_UTSSYS |
233 |
ad |
0x00000800 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-156 vfork(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_VFORK |
25 |
pc |
0x00000080 |
|
形式 :
header-token
argument-token (0, "child PID", pid)
subject-token
return-token
監査レコードは子プロセスが作成された時点で作成されるため、fork の戻り値は 不定なので注意する必要がある
|
|||
表 A-157 vtrace(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_VTRACE |
36 |
pc |
0x00000080 |
|
形式 :
header-token
subject-token
return-token
|
|||
表 A-158 xmknod(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_XMKNOD |
240 |
fc |
0x00000010 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
表 A-159 xstat(2)
|
イベント 名 |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|
|
AUE_XSTAT |
235 |
fa |
0x00000004 |
|
形式 :
header-token
path-token
[attr-token]
subject-token
return-token
|
|||
ユーザレベルで生成される監査レコード
カーネルの外側で動作するアプリケーションによって、次の監査レコードが作成されます。各レコードはプログラムのアルファベット順に掲載されています。各レコードの説明には、次の情報が含まれています。
-
プログラム名
-
参照先のマニュアルページ (該当する場合)
-
監査イベント番号
-
監査イベント名
-
監査レコードの構造
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_allocate_succ |
/usr/sbin/allocate |
6200 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
newgroups-token
exit-token
|
||||
表 A-161 allocate-device failure
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_allocate_fail |
/usr/sbin/allocate |
6201 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
newgroups-token
exit-token
|
||||
表 A-162 deallocate-device success
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_allocate_succ |
/usr/sbin/allocate |
6202 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
newgroups-token
exit-token
|
||||
表 A-163 deallocate-device failure
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_allocate_fail |
/usr/sbin/allocate |
6203 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
newgroups-token
exit-token
|
||||
表 A-164 allocate-list devices success
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_listdevice_succ |
/usr/sbin/allocate |
6205 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
[group-token]
exit-token
|
||||
表 A-165 allocate-list devices failure
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_listdevice_fail |
/usr/sbin/allocate |
6206 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
[group-token]
exit-token
|
||||
表 A-166 at-create crontab
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_at_create |
/usr/bin/at |
6144 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
[group-token]
exit-token
|
||||
表 A-167 at-delete atjob (at or atrm)
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_at_delete |
/usr/bin/at |
6145 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
[group-token]
exit-token
|
||||
表 A-168 at-permission
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_at_perm |
/usr/bin/at |
6146 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
[group-token]
exit-token
|
||||
表 A-169 crontab-crontab created
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_crontab_create |
/usr/bin/crontab |
6148 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
[group-token]
exit-token
|
||||
表 A-170 crontab-crontab deleted
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_crontab_delete |
/usr/bin/crontab |
6149 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
[group-token]
exit-token
|
||||
表 A-171 cron-invoke atjob or crontab
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_cron_invoke |
/usr/bin/crontab |
6147 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
text-token (program)
text-token (shell)
text-token (cmd)
exit-token
|
||||
表 A-172 crontab-permission
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_crontab_perm |
/usr/bin/crontab |
6150 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
[group-token]
exit-token
|
||||
表 A-173 halt(1m)
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_halt_solaris |
/usr/sbin/halt |
6160 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
||||
表 A-174 inetd
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_inetd_connect |
/usr/sbin/inetd |
6151 |
na |
0x00000400 |
|
形式 :
header-token
subject-token
text-token (service name)
return-token
|
||||
表 A-175 init(1m)
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_init_solaris |
/sbin/init; /usr/sbin/init; /usr/sbin/shutdown |
6166 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
text-token (init level)
return-token
|
||||
表 A-176 ftp access
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_ftpd |
/usr/sbin/in.ftpd |
6165 |
lo |
0x00001000 |
|
形式 :
header-token
subject-token
text-token (error message, failure only)
return-token
|
||||
表 A-177 login - local
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_login |
/usr/sbin/login |
6152 |
lo |
0x00001000 |
|
形式 :
header-token
subject-token
text-token (error message)
return-token
|
||||
表 A-178 login - rlogin
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_rlogin |
/usr/sbin/login |
6155 |
lo |
0x00001000 |
|
形式 :
header-token
subject-token
text-token (error message)
return-token
|
||||
表 A-179 login - telnet
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_telnet |
/usr/sbin/login |
6154 |
lo |
0x00001000 |
|
形式 :
header-token
subject-token
text-token (error message)
return-token
|
||||
表 A-180 logout
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_logout |
/usr/sbin/login |
6153 |
lo |
0x00001000 |
|
形式 :
header-token
subject-token
return-token
|
||||
表 A-181 mount
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_mountd_mount |
/usr/lib/nfs/mountd |
6156 |
na |
0x00000400 |
|
形式 :
header-token
subject-token
text-token (remote client hostname)
path-token (mount dir)
text-token (error message, failure only)
return-token
|
||||
表 A-182 unmount
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_mountd_umount |
/usr/lib/nfs/mountd |
6157 |
na |
0x00000400 |
|
形式 :
header-token
subject-token
text-token (remote client hostname)
path-token (mount dir)
text-token (error message, failure only)
return-token
|
||||
表 A-183 passwd
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_passwoeoed |
/usr/bin/passwd |
6163 |
lo |
0x00001000 |
|
形式 :
header-token
subject-token
text-token (error message)
return-token
|
||||
表 A-184 poweroff(1m)
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_poweroff _solaris |
/usr/sbin/poweroff |
6169 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
||||
表 A-185 reboot (1m)
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_reboot_solaris |
/usr/sbin/reboot |
6161 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
||||
表 A-186 rexd
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_rexd |
/usr/sbin/rpc.rexd |
6164 |
lo |
0x00001000 |
|
形式 :
header-token
subject-token
text-token (error message, failure only)
text-token (hostname)
text-token (username)
text-token (command to be executed)
exit-token
|
||||
表 A-187 rexecd
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_rexecd |
/usr/sbin/in.rexecd |
6162 |
lo |
0x00001000 |
|
形式 :
header-token
subject-token
text-token (error message, failure only)
text-token (hostname)
text-token (username)
text-token (command to be executed)
exit-token
|
||||
表 A-188 rsh access
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_rshd |
/usr/sbin/in.rshd |
6158 |
lo |
0x00001000 |
|
形式 :
header-token
subject-token
text-token (command string)
text-token (local user)
text-token (remote user)
return-token
|
||||
表 A-189 shutdown(1b)
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_shutdown _solaris |
/usr/ucb/shutdown |
6168 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
return-token
|
||||
表 A-190 su
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_su |
/usr/bin/su |
6159 |
lo |
0x00001000 |
|
形式 :
header-token
text-token (error message)
subject-token
return-token
|
||||
表 A-191 uadmin(1m)
|
イベント 名 |
プログラム |
イベント ID |
イベントクラス |
マスク |
|---|---|---|---|---|
|
AUE_uadmin_solaris |
/sbin/uadmin; /usr/sbin/uadmin |
6167 |
ad |
0x00000800 |
|
形式 :
header-token
subject-token
text-token (function)
text-token (argument)
return-token
|
||||
イベントからシステムコールへの変換
表 A-192 は、監査イベント名とそれを作成したシステムコールまたはカーネルイベントとの関連付けを示しています。表 A-193 は、監査イベントとそれを生成したアプリケーションまたはコマンドとの関連付けを示しています。
表 A-192 イベントからシステムコールへの変換|
監査イベント |
システムコール |
|---|---|
|
AUE_ACCEPT | |
|
AUE_ACCESS | |
|
AUE_ACLSET | |
|
AUE_ACCT | |
|
AUE_ADJTIME | |
|
AUE_AUDIT | |
|
AUE_AUDITON_GETCAR | |
|
AUE_AUDITON_GETCLASS | |
|
AUE_AUDITON_GETCOND | |
|
AUE_AUDITON_GETCWD | |
|
AUE_AUDITON_GETKMASK | |
|
AUE_AUDITON_GETSTAT | |
|
AUE_AUDITON_GPOLICY | |
|
AUE_AUDITON_GQCTRL | |
|
AUE_AUDITON_SETCLASS | |
|
AUE_AUDITON_SETCOND | |
|
AUE_AUDITON_SETKMASK | |
|
AUE_AUDITON_SETSMASK | |
|
AUE_AUDITON_SETSTAT | |
|
AUE_AUDITON_SETUMASK | |
|
AUE_AUDITON_SPOLICY | |
|
AUE_AUDITON_SQCTRL | |
|
AUE_AUDITSVC | |
|
AUE_BIND | |
|
AUE_CHDIR | |
|
AUE_CHMOD | |
|
AUE_CHOWN | |
|
AUE_CHROOT | |
|
AUE_CLOSE | |
|
AUE_CONNECT | |
|
AUE_CORE | |
|
AUE_CREAT | |
|
AUE_DOORFS_DOOR_BIND | |
|
AUE_DOORFS_DOOR_CALL | |
|
AUE_DOORFS_DOOR_CREATE | |
|
AUE_DOORFS_DOOR_CRED | |
|
AUE_DOORFS_DOOR_INFO | |
|
AUE_DOORFS_DOOR_RETURN | |
|
AUE_DOORFS_DOOR_REVOKE | |
|
AUE_DOORFS_DOOR_UNBIND | |
|
AUE_ENTERPROM | |
|
AUE_EXEC | |
|
AUE_EXECVE | |
|
AUE_EXIT | |
|
AUE_EXITPROM | |
|
AUE_FACLSET | |
|
AUE_FCHDIR | |
|
AUE_FCHMOD | |
|
AUE_FCHOWN | |
|
AUE_FCHROOT | |
|
AUE_FCNTL | |
|
AUE_FORK | |
|
AUE_FORK1 | |
|
AUE_FSTATFS | |
|
AUE_GETAUDIT | |
|
AUE_GETAUID | |
|
AUE_GETMSG | |
|
AUE_GETPMSG | |
|
AUE_GETPORTAUDIT | |
|
AUE_INST_SYNC | |
|
AUE_IOCTL | |
|
AUE_KILL | |
|
AUE_LCHOWN | |
|
AUE_LINK | |
|
AUE_LSTAT | |
|
AUE_LXSTAT | |
|
AUE_MEMCNTL | |
|
AUE_MKDIR | |
|
AUE_MKNOD | |
|
AUE_MMAP | |
|
AUE_MODADDMAJ | |
|
AUE_MODCONFIG | |
|
AUE_MODLOAD | |
|
AUE_MODUNLOAD | |
|
AUE_MOUNT | |
|
AUE_MSGCTL_RMID | |
|
AUE_MSGCTL_SET | |
|
AUE_MSGCTL_STAT | |
|
AUE_MSGGET | |
|
AUE_MSGRCV | |
|
AUE_MSGSND | |
|
AUE_MUNMAP | |
|
AUE_NICE | |
|
AUE_OPEN_R | |
|
AUE_OPEN_RC | |
|
AUE_OPEN_RT | |
|
AUE_OPEN_RTC | |
|
AUE_OPEN_RW | |
|
AUE_OPEN_RWC | |
|
AUE_OPEN_RWT | |
|
AUE_OPEN_RWTC | |
|
AUE_OPEN_W | |
|
AUE_OPEN_WC | |
|
AUE_OPEN_WT | |
|
AUE_OPEN_WTC | |
|
AUE_OSETUID | |
|
AUE_P_ONLINE | |
|
AUE_PATHCONF | |
|
AUE_PIPE | |
|
AUE_PRIOCNTLSYS | |
|
AUE_PROCESSOR_BIND | |
|
AUE_PUTMSG | |
|
AUE_PUTPMSG | |
|
AUE_READLINK | |
|
AUE_RENAME | |
|
AUE_RMDIR | |
|
AUE_SEMCTL_GETALL | |
|
AUE_SEMCTL_GETNCNT | |
|
AUE_SEMCTL_GETPID | |
|
AUE_SEMCTL_GETVAL | |
|
AUE_SEMCTL_GETZCNT | |
|
AUE_SEMCTL_RMID | |
|
AUE_SEMCTL_SET | |
|
AUE_SEMCTL_SETALL | |
|
AUE_SEMCTL_SETVAL | |
|
AUE_SEMCTL_STAT | |
|
AUE_SEMGET | |
|
AUE_SEMOP | |
|
AUE_SETAUDIT | |
|
AUE_SETAUID | |
|
AUE_SETEGID | |
|
AUE_SETEUID | |
|
AUE_SETGID | |
|
AUE_SETGROUPS | |
|
AUE_SETPGRP | |
|
AUE_SETREGID | |
|
AUE_SETREUID | |
|
AUE_SETRLIMIT | |
|
AUE_SETUID | |
|
AUE_SHMAT | |
|
AUE_SHMCTL_RMID | |
|
AUE_SHMCTL_SET | |
|
AUE_SHMCTL_STAT | |
|
AUE_SHMDT | |
|
AUE_SHMGET | |
|
AUE_SHUTDOWN | |
|
AUE_SOCKACCEPT | |
|
AUE_SOCKCONNECT | |
|
AUE_SOCKRECEIVE | |
|
AUE_SOCKSEND | |
|
AUE_STAT | |
|
AUE_STATFS | |
|
AUE_STATVFS | |
|
AUE_STIME | |
|
AUE_SYMLINK | |
|
AUE_SYSINFO | |
|
AUE_SYSTEMBOOT | |
|
AUE_UMOUNT | |
|
AUE_UNLINK | |
|
AUE_UTIME | |
|
AUE_UTIMES | |
|
AUE_UTSSYS | |
|
AUE_VFORK | |
|
AUE_VTRACE | |
|
AUE_XMKNOD | |
|
AUE_XSTAT |
表 A-193 イベントからコマンドへの変換
|
監査イベント |
コマンド |
|---|---|
|
AUE_allocate_succ | |
|
AUE_allocate_fail | |
|
AUE_deallocate_succ | |
|
AUE_deallocate_fail | |
|
AUE_listdevice_succ | |
|
AUE_listdevice_fail | |
|
AUE_at_create | |
|
AUE_at_delete | |
|
AUE_at_perm | |
|
AUE_crontab_create | |
|
AUE_crontab_delete | |
|
AUE_cron_invoke | |
|
AUE_crontab_perm | |
|
AUE_halt_solaris | |
|
AUE_inetd_connect | |
|
AUE_init_solaris | |
|
AUE_ftpd | |
|
AUE_login | |
|
AUE_rlogin | |
|
AUE_telnet | |
|
AUE_logout | |
|
AUE_mountd_mount | |
|
AUE_mountd_umount | |
|
AUE_passwd | |
|
AUE_poweroff_solaris | |
|
AUE_reboot_solaris | |
|
AUE_rexd | |
|
AUE_rexecd | |
|
AUE_rshd | |
|
AUE_shutdown_solaris | |
|
AUE_su | |
|
AUE_uadmin_solaris |
- © 2010, Oracle Corporation and/or its affiliates