監査ファイルの構成

ネットワーク上で監査プロセスを有効にする前に、監査構成ファイルを編集します。このあとに説明する手順の多くは、サービスの再開またはローカルシステムのリブートが必要です。監査構成ファイルの編集は、できるだけ BSM サービスを開始する前に完了してください。

監査ファイルの構成 (作業マップ)

次の表は、この節で説明する操作の一覧です。

監査フラグの変更方法

監査フラグは、/etc/security/audit_control ファイルに定義されます。監査フラグを使用して、監査ログに記録する監査レコードのクラスを選択します。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. (省略可能) audit_control ファイルのバックアップコピーを保存します。

   # cp /etc/security/audit_control /etc/security/audit_control.save

3. audit_control ファイルに新しいエントリを追加します。

   各エントリの書式は次のとおりです。

   title:string

   title	行の種類を定義する。dir:、flags:、minfree:、または naflags:を選択できる
   string	この種類の行に関連付けるデータを指定する

4. 監査デーモンを実行して、新しい audit_control ファイルを読み込みます。

   監査デーモンの内部に、読み込んだ情報が格納されます。新しい情報を使用するには、システムをリブートするか、次のコマンドを入力します。

   # audit -s

例—監査トレールファイルの位置を変更する

dir: で始まる行には、監査トレールファイルの格納に使用する監査ファイルシステムを定義します。この例では、監査トレールファイルの位置を 2 つ追加定義しています。

# cat /etc/security/audit_control
dir:/etc/security/audit/host.1/files
dir:/etc/security/audit/host.2/files
dir:/var/audit
flags:
minfree:10
naflags:lo

例 — すべてのユーザーに適用される監査フラグを変更する

audit_control ファイルの flags 行には、監査するイベントのクラスを定義します。このフラグは、ホスト上のすべてのユーザーに適用されます。クラスは空白を入れずにコンマで区切ります。この例では、すべてのユーザーを対象に lo クラスのイベントが監査されます。

# cat /etc/security/audit_control
dir:/var/audit
flags:lo
minfree:10
naflags:lo

例 — 警告に対するソフト制限値を変更する

audit_control ファイルの minfree 行には、すべての監査ファイルシステムの最小空き領域レベルを定義します。この例では、利用できるファイルシステムの領域が 10 % だけになったときに警告が発行されるように、ソフト制限値を設定しています。

# cat /etc/security/audit_control
dir:/var/audit
flags:
minfree:10
naflags:lo

例 — ユーザーに起因しないイベントの監査を変更する

audit_control ファイルの naflags: 行には、ホスト上のすべてのユーザーを対象に監査する、ユーザーに起因しないイベントのクラスを定義します。クラスは空白を入れずにコンマで区切ります。この例では、na イベントクラスが追加されます。

# cat /etc/security/audit_control
dir:/var/audit
flags:
minfree:10
naflags:lo,na

ユーザーの監査特性の変更方法

ユーザーごとの定義は、/etc/security/audit_user ファイルに格納できます。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. (省略可能) audit_user ファイルのバックアップコピーを保存します。

   # cp /etc/security/audit_user /etc/security/audit_user.save

3. audit_user ファイルに新しいエントリを追加します。

   各エントリの書式は次のとおりです。

   username:always:never
   

   username	監査するユーザー名を選択する
   always	常に監査する監査クラスの一覧を選択する
   never	監査しない監査クラスの一覧を選択する

   複数のフラグを指定するには、監査クラスをコンマで区切ります。監査ファイルの詳細は、監査フラグ を参照してください。

4. BSM サービスで新しいデータを有効にします。

   新しいデータを使用するには、システムをリブートするか、いったんログアウトしてからログインし直します。

例 — 1 人のユーザーの監査を変更する

この例のエントリでは、ユーザー sue がログインクラス (lo) の任意のプログラムにアクセスすると、監査レコードが生成されます。

# grep sue /etc/security/audit_user
sue:lo:

例 — 監査管理ログインを作成する

監査パーティションがすべていっぱいの場合は、ホストにログインできなくなります。すべてのログインを監査している場合は、監査パーティションがいっぱいになると、すべてのユーザーがログインを完了できなくなります。この状況を回避するために、監査を行わない特別なログインを設定できます。この新しいログインを使用すると、監査パーティションがいっぱいの場合でも、ホストにログインできます。また、このログインを使用して、いっぱいになったパーティションの問題を修復できます。この例では、ユーザー auditadm を監査しないように定義します。

# grep auditadm /etc/security/audit_user
auditadmin:no:yes

監査管理ログインとして機能するユーザーログインは、ほかの方法で監視する必要があります。

監査クラスの変更方法

監査クラスは、/etc/security/audit_class ファイルに定義されます。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. (省略可能) audit_class ファイルのバックアップコピーを保存します。

   # cp /etc/security/audit_class /etc/security/audit_class.save

3. audit_class ファイルに新しいエントリを追加します。

   各エントリの書式は次のとおりです。

   0xnumber:name:description

   number	一意の監査クラスマスクを定義する
   name	監査クラスの 2 文字の名前を定義する
   description	監査クラスの記述名を定義する

4. BSM サービスで新しいデータを有効にします。

   新しいデータを使用するには、システムをリブートするか、次のコマンドを入力します。

   # auditconfig -conf

例 — 新しい監査クラスを設定する

手順 3 で、次のようなエントリを追加して、de という新しい監査クラスを設定します。

0x00010000:de:device allocation

監査イベントの変更方法

監査イベントの定義は、/etc/security/audit_event ファイルに格納されます。レコードの生成は、イベント定義が作成され、ユーザーレベルの動作によってイベントが生成されたときにだけ行われます。

1. スーパーユーザーになるか、同等の役割を引き受けます。

2. (省略可能) audit_event ファイルのバックアップコピーを保存します。

   # cp /etc/security/audit_event /etc/security/audit_event.save

3. audit_event ファイルに新しいエントリを追加します。

   各エントリの書式は次のとおりです。

   number:name:description:classes
   

   number	一意の監査イベント番号を定義する。32768 以降の番号を指定する
   name	一意の監査イベント名を定義する
   description	監査イベントの説明を記述する。監査イベントのマニュアルページ名が含まれることが多い
   classes	このイベントを含む監査クラスを選択する

4. BSM サービスで新しいデータを有効にします。

   新しいデータを使用するには、システムをリブートするか、次のコマンドを入力します。

   # auditconfig -conf

例 — 新しい監査イベントを追加する

この例のエントリでは、ローカルアプリケーションの新しい監査イベントを定義します。

# grep localapp /etc/security/audit_event
32769:aue_localapp:localapp(1):ap