監査イベント
セキュリティシステムに関連する動作について監査を行います。これらの監査可能な動作を、監査イベントと呼びます。監査イベントは、/etc/security/audit_event ファイルに指定します。各監査イベントは、このファイル内でシンボル名、イベント番号、一連の選択済みクラス、および簡単な説明により定義されています (audit_event(4) のマニュアルページを参照)。
監査イベントには、いくつかのカテゴリがあります。監視イベントは、カーネルによって生成されたイベント (カーネルレベルイベントと呼ばれる) と、アプリケーションによって生成されたイベント (アプリケーションレベルイベントと呼ばれる) に大きく分けられます。イベントの生成元 (カーネル、またはユーザーレベルのアプリケーション) によって、イベントを識別するイベント番号の範囲が決定されます。
表 23–2 監査イベントのカテゴリ|
番号の範囲 |
イベントの種類 |
|
|---|---|---|
|
1–2047 |
カーネルレベルの監査イベント |
|
|
2048–65535 |
ユーザーレベルの監査イベント |
|
|
|
2048–32767 |
SunOS ユーザーレベルのプログラム用に予約 |
|
|
32768–65535 | |
カーネルレベルの監査イベント
カーネルによって生成されるイベント (システムコール) では、1 から 2047 までのイベント番号が付けられます。イベント名は AUE_ で始まり、そのあとにイベントを表す大文字のイベントニーモニックが続きます。たとえば、creat() システムコールのイベント番号は 4 で、イベント名は AUE_CREAT です。
ユーザーレベルの監査イベント
カーネルの外側でアプリケーションソフトウェアによって生成されるイベントで、2048 から 65535 までのイベント番号が付けられます。 イベント名は AUE_ で始まり、そのあとにイベントを表す小文字のニーモニックが続きます。たとえば、rlogin コマンドのイベント番号は 6155 で、イベント名は AUE_rlogin です。表 23–2 にユーザーに関連するイベントの一般的なカテゴリを示します。
ユーザーに起因しない監査イベント
ほとんどのイベントは個々のユーザーの動作が原因で発生しますが、一部のイベントはユーザーに起因しません。これらのイベントは、「ユーザーに起因しないイベント」と呼ばれます。イベントがカーネル割り込みレベルで発生したり、ユーザーが識別されて認証される前に発生したりする場合は、ユーザーに起因しません。ユーザーに起因しないイベントも同じように監査されます。AUE_ENTERPROM (カーネルイベント番号 153) と AUE_mountd_mount (ユーザーレベルイベント番号 6156) はユーザーに起因しないイベントの例です。/etc/security/audit_event ファイル内で各イベントの番号を調べてください。
- © 2010, Oracle Corporation and/or its affiliates