audit_warn スクリプト

監査デーモンは、監査レコードの書き込み中に異常な状態が発生すると、/etc/security/audit_warn スクリプトを起動します。詳細については、audit_warn(1M) のマニュアルページを参照してください。このスクリプトを環境に合わせてカスタマイズして、手動による割り込みを要求する警告を発行したり、自動的に実行する処理を指定したりできます。どのエラーの場合も、audit_warn はメッセージをコンソールに書き込み、audit_warn メールの別名にメールを送ります。監査を有効にしたときは、この別名を設定する必要があります。

監査デーモンは、次の状態を検出すると、 audit_warn スクリプトを起動します。

• 監査ディレクトリが minfree の許容値を超えていっぱいになった場合。minfree値はソフト制限値で、監査ファイルシステム上で使用できる領域の割合です。

  audit_warn スクリプトは、文字列 soft と、使用可能領域が下限値を下回ったディレクトリ名を使用して起動されます。監査デーモンは、次に適切なディレクトリに自動的に切り替えて、この新しいディレクトリが minfree の上限に達するまで監査ファイルに書き込みます。監査デーモンは、audit_control ファイルにリストされた順序で残りの各ディレクトリにアクセスし、各ディレクトリが minfree の制限に達するまで監査レコードを書き込みます。

• すべての監査ディレクトリが minfree のしきい値に達した場合。

  文字列 allsoft を指定した audit_warn スクリプトが起動します。コンソールにメッセージが書き込まれ、audit_warn の別名にメールが送られます。

  audit_control ファイルに指定されたすべての監査ディレクトリがそれぞれの minfree しきい値に達すると、監査デーモンは最初の監査ディレクトリに戻って、そのディレクトリが完全にいっぱいになるまで監査レコードを書き込みます。

• 監査ディレクトリが完全にいっぱいになり、残りの容量がなくなった場合。

  文字列 hard とディレクトリ名を使用して、audit_warn スクリプトが起動されます。コンソールにメッセージが書き込まれ、audit_warn の別名にメールが送られます。

  監査デーモンは、使用可能領域が残っている次の適切なディレクトリがあれば、そのディレクトリに自動的に切り替えます。監査デーモンは、audit_control ファイル内に指定されている順番で次の残りのディレクトリに移動し、それぞれのディレクトリが完全にいっぱいになるまで監査レコードを書き込みます。

• すべての監査ディレクトリが完全にいっぱいになった場合。引数として文字列 allhard を使用して、audit_warn スクリプトが起動されます。

  デフォルトの構成では、コンソールにメッセージが書き込まれ、audit_warn の別名にメールが送られます。監査レコードを生成するプロセスは中断されます。監査デーモンはループに入り、領域が使用可能になるのを待って監査レコードの処理を再開します。監査レコードが処理されるまで、監査対象の動作は待機します。監査レコードを生成しようとするプロセスは、すべて中断されます。このため、別の監査管理アカウントを設定し、監査機能を有効にしないで操作できるように設定する必要があります。このように設定すれば、操作を中断せずに継続することができます。

• 次のような内部エラーが発生した場合は、audit_warn の別名にメールが送られます。

  • 別の監査デーモンプロセスがすでに動作している (文字列 ebusy)

  • 一時ファイルを使用できない (文字列 tmpfile)

  • auditsvc() システムコールが失敗した (文字列auditsvc)

  • 監査のシャットダウン中に信号を受信した (文字列postsigterm)

• audit_control ファイルの構文に問題が検出された場合、デフォルトでは、audit_warn の別名にメールが送られ、コンソールにメッセージが送られます。