ネットワーク上で監査プロセスを有効にする前に、監査構成ファイルを編集します。このあとに説明する手順の多くは、サービスの再開またはローカルシステムのリブートが必要です。監査構成ファイルの編集は、できるだけ BSM サービスを開始する前に完了してください。
次の表は、この節で説明する操作の一覧です。
作業 |
説明 |
参照先 |
---|---|---|
監査フラグの変更 |
監査ディレクトリの位置と監査サービスで使用するシステム全体のフラグを定義する | |
ユーザーの監査特性の変更 |
ユーザー固有の監査を選択する | |
監査クラスの変更 |
監査を必要とするイベント、クラス、およびユーザーを選択する | |
監査イベントの変更 |
監査サービスに新しいイベントを追加する |
監査フラグは、/etc/security/audit_control ファイルに定義されます。監査フラグを使用して、監査ログに記録する監査レコードのクラスを選択します。
スーパーユーザーになるか、同等の役割を引き受けます。
(省略可能) audit_control ファイルのバックアップコピーを保存します。
# cp /etc/security/audit_control /etc/security/audit_control.save |
audit_control ファイルに新しいエントリを追加します。
各エントリの書式は次のとおりです。
title:string |
title |
行の種類を定義する。dir:、flags:、minfree:、または naflags:を選択できる |
string |
この種類の行に関連付けるデータを指定する |
監査デーモンを実行して、新しい audit_control ファイルを読み込みます。
監査デーモンの内部に、読み込んだ情報が格納されます。新しい情報を使用するには、システムをリブートするか、次のコマンドを入力します。
# audit -s |
dir: で始まる行には、監査トレールファイルの格納に使用する監査ファイルシステムを定義します。この例では、監査トレールファイルの位置を 2 つ追加定義しています。
# cat /etc/security/audit_control dir:/etc/security/audit/host.1/files dir:/etc/security/audit/host.2/files dir:/var/audit flags: minfree:10 naflags:lo |
audit_control ファイルの flags 行には、監査するイベントのクラスを定義します。このフラグは、ホスト上のすべてのユーザーに適用されます。クラスは空白を入れずにコンマで区切ります。この例では、すべてのユーザーを対象に lo クラスのイベントが監査されます。
# cat /etc/security/audit_control dir:/var/audit flags:lo minfree:10 naflags:lo |
audit_control ファイルの minfree 行には、すべての監査ファイルシステムの最小空き領域レベルを定義します。この例では、利用できるファイルシステムの領域が 10 % だけになったときに警告が発行されるように、ソフト制限値を設定しています。
# cat /etc/security/audit_control dir:/var/audit flags: minfree:10 naflags:lo |
audit_control ファイルの naflags: 行には、ホスト上のすべてのユーザーを対象に監査する、ユーザーに起因しないイベントのクラスを定義します。クラスは空白を入れずにコンマで区切ります。この例では、na イベントクラスが追加されます。
# cat /etc/security/audit_control dir:/var/audit flags: minfree:10 naflags:lo,na |
ユーザーごとの定義は、/etc/security/audit_user ファイルに格納できます。
スーパーユーザーになるか、同等の役割を引き受けます。
(省略可能) audit_user ファイルのバックアップコピーを保存します。
# cp /etc/security/audit_user /etc/security/audit_user.save |
audit_user ファイルに新しいエントリを追加します。
各エントリの書式は次のとおりです。
username:always:never
username |
監査するユーザー名を選択する |
always |
常に監査する監査クラスの一覧を選択する |
never |
監査しない監査クラスの一覧を選択する |
複数のフラグを指定するには、監査クラスをコンマで区切ります。監査ファイルの詳細は、監査フラグ を参照してください。
BSM サービスで新しいデータを有効にします。
新しいデータを使用するには、システムをリブートするか、いったんログアウトしてからログインし直します。
この例のエントリでは、ユーザー sue がログインクラス (lo) の任意のプログラムにアクセスすると、監査レコードが生成されます。
# grep sue /etc/security/audit_user sue:lo: |
監査パーティションがすべていっぱいの場合は、ホストにログインできなくなります。すべてのログインを監査している場合は、監査パーティションがいっぱいになると、すべてのユーザーがログインを完了できなくなります。この状況を回避するために、監査を行わない特別なログインを設定できます。この新しいログインを使用すると、監査パーティションがいっぱいの場合でも、ホストにログインできます。また、このログインを使用して、いっぱいになったパーティションの問題を修復できます。この例では、ユーザー auditadm を監査しないように定義します。
# grep auditadm /etc/security/audit_user auditadmin:no:yes |
監査管理ログインとして機能するユーザーログインは、ほかの方法で監視する必要があります。
監査クラスは、/etc/security/audit_class ファイルに定義されます。
スーパーユーザーになるか、同等の役割を引き受けます。
(省略可能) audit_class ファイルのバックアップコピーを保存します。
# cp /etc/security/audit_class /etc/security/audit_class.save |
audit_class ファイルに新しいエントリを追加します。
各エントリの書式は次のとおりです。
0xnumber:name:description |
number |
一意の監査クラスマスクを定義する |
name |
監査クラスの 2 文字の名前を定義する |
description |
監査クラスの記述名を定義する |
BSM サービスで新しいデータを有効にします。
新しいデータを使用するには、システムをリブートするか、次のコマンドを入力します。
# auditconfig -conf |
手順 3 で、次のようなエントリを追加して、de という新しい監査クラスを設定します。
0x00010000:de:device allocation |
監査イベントの定義は、/etc/security/audit_event ファイルに格納されます。レコードの生成は、イベント定義が作成され、ユーザーレベルの動作によってイベントが生成されたときにだけ行われます。
スーパーユーザーになるか、同等の役割を引き受けます。
(省略可能) audit_event ファイルのバックアップコピーを保存します。
# cp /etc/security/audit_event /etc/security/audit_event.save |
audit_event ファイルに新しいエントリを追加します。
各エントリの書式は次のとおりです。
number:name:description:classes
number |
一意の監査イベント番号を定義する。32768 以降の番号を指定する |
name |
一意の監査イベント名を定義する |
description |
監査イベントの説明を記述する。監査イベントのマニュアルページ名が含まれることが多い |
classes |
このイベントを含む監査クラスを選択する |
BSM サービスで新しいデータを有効にします。
新しいデータを使用するには、システムをリブートするか、次のコマンドを入力します。
# auditconfig -conf |
この例のエントリでは、ローカルアプリケーションの新しい監査イベントを定義します。
# grep localapp /etc/security/audit_event 32769:aue_localapp:localapp(1):ap |