監査とは
監査とは、マシンリソースの使用状況に関するデータを収集することです。監査データは、セキュリティに関連するシステムイベントの記録を提供します。このデータは、ホストで発生する動作の責任の割り当てに使用できます。監査を正常に機能させるには、識別と認証という 2 つのセキュリティ機能が重要です。 ログイン時にユーザーがユーザー名とパスワードを与えると、一意の監査 ID がそのユーザーのプロセスに関連付けられます。監査 ID は、ログインセッション中に起動されるすべてのプロセスに継承されます。ユーザーが ID を変更しても、実行するすべての動作は同じ監査 ID によって追跡されます。su(1M) のマニュアルページを参照してください。
監査サブシステムを使うと、次の処理が可能になります。
-
ホスト上で発生するセキュリティに関係するイベントの監視
-
ネットワーク全体の監査トレールにイベントを記録
-
誤った使用または権限のない動作の検出
-
アクセスパターンの確認と、ユーザーおよびオブジェクトのアクセス履歴の調査
-
保護メカニズムを迂回しようとする操作の検出
-
スーパーユーザー権限を使用しているユーザーの検出
システムの構成時にどの動作を監視するかを選択します。各ユーザーに行う監査の程度は、細かく調整することもできます。
監査データを収集したあと、監査ファイル縮小ツールと変換ツールによって監査トレールの注目すべき部分を調査できます。たとえば、個々のユーザーまたは特定グループの監査レコードを確認できます。特定の日に発生した特定の種類のイベントに対するすべてのレコードを調査できます。または、特定の時間帯に生成されたレコードを選択することもできます。
- © 2010, Oracle Corporation and/or its affiliates