監査トレールは監査デーモンによって作成されます (詳細は、auditd(1M) のマニュアルページを参照)。監査デーモンは、マシンが起動されるとその各マシン上で起動されます。 auditd デーモン は、ブート時に起動されると、監査トレールデータを収集し、監査レコードを監査ファイルに書き込む処理を受け持ちます。このファイルを監査ログファイルとも呼びます。ファイルの書式については、audit.log(4) のマニュアルページを参照してください。
監査ディレクトリは、監査専用でない他のファイルシステム内に物理的に配置することもできますが、予備のディレクトリを除き、この配置は行わないでください。予備のディレクトリとは、他の適切なディレクトリが使用できないときに限り、監査ファイルが書き込まれるディレクトリです。
次の場合にも、監査ディレクトリを監査専用でないファイルシステムに配置することができます。つまり、監査がオプションで提供されるソフトウェア開発環境で、監査トレールを保存せずに、ディスク容量をすべて使用することを優先する場合です。セキュリティが重視される実行環境では、監査ディレクトリを他のファイルシステム内に入れることは許可されません。
また、次の点も考慮する必要があります。
ホストには、1 つ以上のローカルの監査ディレクトリを用意する必要があります。このディレクトリは、ホストが監査サーバーと通信できない場合に、予備のディレクトリとして使用できます。
監査ディレクトリは、読み取りオプションと書き込みオプション (rw) を使用してマウントしてください。監査ディレクトリを NFS ソフトウェアを使用してリモートマウントするときは、intr および noac オプションも使用してください。
監査ファイルシステムを、格納先の監査サーバー上で一覧してください。エクスポートリストには、監査サーバーを使用するように構成されたすべてのマシンが含まれます。
各監査ファイルは、それ自体で意味がわかるレコードの集合です。ファイル名には、レコードが生成された時間の範囲と、それを生成したマシン名が含まれます。
start-time.finish-time.machine |
start-time は、監査ファイル内の最初の監査レコードが生成された時刻です。finish-timeは、最後のレコードがファイルに書き込まれた時刻です。machine は、ファイルを生成したマシン名です。監査ファイル名の例については、閉じられた監査ファイル名の例を参照してください。
監査ログファイルが動作中である場合は、次の書式の名前が付いています。
start-time.not_terminated.machine |
auditreduce コマンドは、ファイル名のタイムスタンプを使用して、要求された特定期間内のレコードが入ったファイルを検索します。たとえば、1 か月以上蓄積された監査ファイルの全レコードから、24 時間以内に生成されたレコードを検索する場合、タイムスタンプを使用しなければ、検索時間が大幅に増大することになるため、タイムスタンプは重要な意味を持ちます。
start-time と end-time は 1 秒単位のタイムスタンプです。これらのタイムスタンプは、グリニッジ標準時 (GMT) で指定されます。タイムスタンプの書式は、次のように年が 4 桁で、2 桁ずつの月、日、時、分、秒があとに続きます。
YYYYMMDDHHMMSS |
タイムスタンプには GMT が使用されるため、夏時間によるずれがあっても正しい順序でソートされることが保証されます。また、日時を把握しやすいように現在の時間帯に変換する必要があります。監査ファイルを auditreduce コマンドではなく標準ファイルコマンドで操作するときには、この点に注意してください。
YYYYMMDDHHMMSS.not_terminated.machine |
次に例を示します。
19990327225243.not_terminated.dopey |
監査ログファイルの名前には、開始日が使用されます。上記の例の監査ファイルは、GMT の1990 年 3 月 27 日午後 10:52:43 に作成されています。ファイル名のうち not_terminated は、このファイルがまだ動作中であるか、または auditd デーモンが予期しない割り込みを行なったことを意味します。末尾の名前 dopey は、監査データが収集されているマシンのホスト名です。
YYYYMMDDHHMMSS.YYYYMMDDHHMMSS.hostname |
次に例を示します。
19990320005243.19900327225351.dopey |
この例の監査ログファイルは、GMT の 1999 年 3 月 20 日の午前 12:52:43 に作成されています。このファイルは、GMT の 3 月 27 日午後 10:53:51 に閉じられました。末尾の名前 dopey は、監査データが収集されたマシンのホスト名です。
auditd が予期しない割り込みを行うと、その時点で開いている監査ファイル名には not_terminated が付きます。また、マシンがリモートでマウントされた監査ファイルに書き込んでいるときに、ファイルサーバーがクラッシュするか、またはアクセスできなくなると、not_terminated が現在のファイル名に付いたままになります。監査デーモンは、古い監査ファイル名の監査ファイルをそのまま残して新しい監査ファイルを開きます。