プロセスの監査特性

最初のログイン時に次の監査特性が設定されます。

• プロセス事前選択マスク – ユーザーがログインすると、login コマンドは、audit_control ファイルのマシン全体の監査フラグと、audit_user ファイルのユーザー固有の監査フラグ (指定されている場合) を結合して、そのユーザーのプロセスの事前選択マスクを確立します。プロセス事前選択マスクは、各監査イベントクラス内のイベントで監査レコードを生成するかどうかを指定します。

  プロセス事前選択マスクを取得するアルゴリズムは次のとおりです。つまり、audit_control ファイル内の flags: 行にある監査フラグが、audit_userファイル内のユーザーエントリの always-audit フィールドにあるフラグに追加されます。次に、audit_user ファイルのユーザーエントリの never-audit フィールドに指定されているフラグが、前述のフラグ全体から次のように差し引かれます。

  user's process preselection mask = (flags: line + always audit flags) - never audit flags

• 監査 ID – ユーザーがログインすると、プロセスはユーザーの監査 ID を取得します。この監査 ID は、ユーザーの初期プロセスが起動するすべての子プロセスに継承されます。監査 ID はアカウントの追跡を強行するときにも役立ちます。ユーザーがスーパーユーザーになったあとも、監査 ID はそのまま変わらずに残ります。各監査レコード内に保存された監査 ID を使用すると、常に動作を追跡してログインした元のユーザーまでたどることができます。

• 監査セッションID – 監査セッションID は、ログイン時に割り当てられ、すべての子孫プロセスに継承されます。

• 端末 ID (ポート ID、マシン ID) – 端末 ID は、ホスト名とインターネットアドレスで構成され、そのあとにユーザーがログインした物理デバイスを識別する一意の番号が続きます。通常、ログインはコンソールから行われ、そのコンソールデバイスに対応する番号は 0 になります。