監査フラグの変更方法
監査フラグは、/etc/security/audit_control ファイルに定義されます。監査フラグを使用して、監査ログに記録する監査レコードのクラスを選択します。
-
スーパーユーザーになるか、同等の役割を引き受けます。
-
(省略可能) audit_control ファイルのバックアップコピーを保存します。
# cp /etc/security/audit_control /etc/security/audit_control.save
-
audit_control ファイルに新しいエントリを追加します。
各エントリの書式は次のとおりです。
title:string
title
行の種類を定義する。dir:、flags:、minfree:、または naflags:を選択できる
string
この種類の行に関連付けるデータを指定する
-
監査デーモンを実行して、新しい audit_control ファイルを読み込みます。
監査デーモンの内部に、読み込んだ情報が格納されます。新しい情報を使用するには、システムをリブートするか、次のコマンドを入力します。
# audit -s
例—監査トレールファイルの位置を変更する
dir: で始まる行には、監査トレールファイルの格納に使用する監査ファイルシステムを定義します。この例では、監査トレールファイルの位置を 2 つ追加定義しています。
# cat /etc/security/audit_control dir:/etc/security/audit/host.1/files dir:/etc/security/audit/host.2/files dir:/var/audit flags: minfree:10 naflags:lo |
例 — すべてのユーザーに適用される監査フラグを変更する
audit_control ファイルの flags 行には、監査するイベントのクラスを定義します。このフラグは、ホスト上のすべてのユーザーに適用されます。クラスは空白を入れずにコンマで区切ります。この例では、すべてのユーザーを対象に lo クラスのイベントが監査されます。
# cat /etc/security/audit_control dir:/var/audit flags:lo minfree:10 naflags:lo |
例 — 警告に対するソフト制限値を変更する
audit_control ファイルの minfree 行には、すべての監査ファイルシステムの最小空き領域レベルを定義します。この例では、利用できるファイルシステムの領域が 10 % だけになったときに警告が発行されるように、ソフト制限値を設定しています。
# cat /etc/security/audit_control dir:/var/audit flags: minfree:10 naflags:lo |
例 — ユーザーに起因しないイベントの監査を変更する
audit_control ファイルの naflags: 行には、ホスト上のすべてのユーザーを対象に監査する、ユーザーに起因しないイベントのクラスを定義します。クラスは空白を入れずにコンマで区切ります。この例では、na イベントクラスが追加されます。
# cat /etc/security/audit_control dir:/var/audit flags: minfree:10 naflags:lo,na |
- © 2010, Oracle Corporation and/or its affiliates