監査ポリシーを有効または無効にする方法
監査ポリシーを使用して、ローカルホストの監査レコードの特性を決定します。デフォルトでは、すべての監査ポリシーが無効になっています。使用する監査ポリシーは、有効にする必要があります。各ポリシーについては、監査ポリシーを参照してください。
プログラムレベルで auditon() システムコールを行なって、現在の監査ポリシーを調査したり、有効または無効にしたりすることができます。また、auditconfig コマンドを実行して同じタスクを行うこともできます。また、監査ポリシーの変更内容を固定するために、audit_startup スクリプト内で auditconfig コマンドの監査ポリシーオプションを変更することも可能です。
-
スーパーユーザーになるか、同等の役割を引き受けます。
-
(省略可能) 既存の監査ポリシーを確認します。
監査ポリシーを変更するときは、現在使用されているポリシーをすべて確認してください。次のコマンドを実行すると、有効なポリシーがすべて表示されます。
# auditconfig -lspolicy
-
監査ポリシーを有効または無効にします。
# auditconfig -setpolicy flagpolicyname
- flag
-
flag に + を指定すると、ポリシーが有効になる。flag に - を指定すると、ポリシーが無効になる
- policyname
-
有効または無効にするポリシーを選択する
このポリシーの設定は、次回ブートするまで、または auditconfig -setpolicy コマンドを使ってポリシーを変更するまで持続します。
例 — cnt ポリシーを設定する
cnt ポリシーを設定すると、監査パーティションがいっぱいになっても、プロセスはブロックされません。パーティションがいっぱいになるとレコードは破棄されますが、システムは機能し続けます。cnt ポリシーを有効にすると、破棄された監査レコードのカウント数が記録されます。セキュリティを重視する場合は、cnt ポリシーは設定しないでください。ファイルシステムがいっぱいになると、イベントが記録されないことがあるためです。
次のコマンドを実行すると、cnt ポリシーが有効になります。
# auditconfig -setpolicy +cnt |
リブートしてもポリシーの設定を維持させるには、auditconfig -setpolicy +cnt コマンドを audit_startup ファイルに追加する必要があります。
- © 2010, Oracle Corporation and/or its affiliates