test

Solaris のシステム管理 (セキュリティサービス)

監査フラグ

監査フラグは監査対象となるイベントのクラスを示します。マシン全体で有効な監査関連のデフォルト値は、audit_control ファイル内のフラグによって各マシン上のすべてのユーザーに対して指定されます。詳細については、audit_controlファイル を参照して下さい。

監査フラグを audit_user ファイルにあるユーザーエントリに入れることにより、各ユーザーについて監査を行う対象を変更できます。また、監査フラグは、auditconfig コマンドの引数として使用できます (auditconfig(1M) のマニュアルページを参照)。

監査フラグの定義

次の表に、事前に定義されている各監査クラスについて、監査フラグ (クラスを表す短縮名)、ロング名、および簡単な説明の一覧を示します。監査するイベントのクラスを指定するときは、監査構成ファイルの監査フラグを使用します。新しいクラスを定義したり、既存のクラス名を変更したりするときは、audit_class ファイルを変更します (audit_class(4)のマニュアルページを参照)。

表 26–2 監査フラグ

短縮名 

ロング名 

短い説明 

no

no_class

イベントの事前選択を無効にする空の値

fr

file_read

データを読み取る、読み取りのために開く 

fw

file_write

データを書き込む、書き込みのために開く 

fa

file_attr_acc

オブジェクト属性にアクセスする :statpathconf

fm

file_attr_mod

オブジェクト属性を変更する :chownflock

fc

file_creation

オブジェクトの作成 

fd

file_deletion

オブジェクトの削除 

cl

file_close

close システムコール

pc

process

プロセスの操作: forkexecexit

nt

network

ネットワークイベント: bindconnectaccept

ip

ipc

System V の IPC 操作

na

non_attrib

ユーザーが原因ではないイベント 

ad

administrative

管理上の操作 

lo

login_logout

ログインとログアウトのイベント 

ap

application

アプリケーションが定義するイベント 

io

ioctl

ioctl システムコール

ex

exec

プログラムの実行 

ot

other

その他 

all

all

全フラグのセット

監査フラグの構文

接頭辞に応じて、イベントのクラスは、成功したまたは失敗した場合、成功した場合のみ、または、失敗した場合のみ、監査を行うことができます。監査フラグの書式は次のとおりです。

prefixflag

次の表に、成功した場合、失敗した場合、またはその両方の場合に、監査クラスを監査するかどうかを指定する接頭辞を示します。

表 26–3 監査フラグに使用する接頭辞

接頭辞 

定義 

なし 

成功と失敗の両方の場合に監査する 

+

成功の場合のみ監査する 

-

失敗の場合のみ監査する 

たとえば、監査フラグ lo (接頭辞なし) を指定した場合は、ログインとログアウトのすべての成功、およびすべてのログインの失敗について、監査が発生します。ログアウトの失敗は想定していません。また、-all フラグを指定した場合は、あらゆる種類の失敗について監査が発生します。+all フラグを指定した場合は、あらゆる種類の成功について監査が発生します。

注意 – 注意 –

-all フラグを指定すると、大量のデータが生成され、すぐに監査ファイルシステムがいっぱいになることがあります。-all フラグは、特別な理由ですべての活動を監査する場合にだけ使用してください。

監査フラグを変更する接頭辞

次の表の接頭辞を次の 3 つの方法のいずれかで使用します。

詳細については、auditconfig(1M) のマニュアルページを参照してください。

次の表に示す接頭辞を監査クラスの短縮名とともに使用して、指定済みの監査クラスの設定をオンまたはオフにします。

表 26–4 指定済みの監査フラグを変更する接頭辞

接頭辞 

定義 

^-

失敗した試みに対する監査をオフにする 

^+

成功した試みに対する監査をオフにする

^

成功した試みと失敗した試みの両方に対して監査をオフにする 

^- 接頭辞は、次の例のように audit_control ファイルの flags 行で使用します。

次の例では、lo フラグと ad フラグが、すべてのログインと管理操作について成功と失敗の両方の場合に、監査することを指定します。-all は「失敗したすべてのイベント」を監査することを意味します。^- 接頭辞は「指定したクラスの、失敗した試みについて監査の設定をオフにする」ため、^-fc フラグは、失敗したすべてのイベントの監査を指定した以前のフラグを変更します。この 2 つのフィールドを指定すると、ファイルシステムオブジェクトの作成に失敗した場合を除いて、失敗したすべてのイベントが監査されます。 


flags:lo,ad,-all,^-fc