test

Solaris のシステム管理 (セキュリティサービス)

監査クラスと監査フラグ

「監査フラグ」は監査対象となるイベントのクラスを示します。マシン全体で有効な監査デフォルト値は、audit_control ファイル内のフラグによって各マシン上のすべてのユーザーに対して指定されます。このファイルについては、audit_controlファイル を参照してください。

監査フラグを audit_user ファイルにあるユーザーエントリに入れることにより、各ユーザーについて監査を行う対象を変更できます。監査フラグは、auditconfig コマンドの引数としても使用します。auditconfig(1M) のマニュアルページを参照してください。

監査フラグの定義

次の表に、事前に定義されている監査クラスを示します。この表には、監査フラグ、ロング名、および短い説明が記載されています。監査フラグは、監査クラスを表す短縮名です。監査するイベントのクラスを指定するときは、監査構成ファイルの監査フラグを使用します。監査フラグは、auditconfig などの監査コマンドの引数としても使用します。新しいクラスを定義するには、audit_class ファイルを変更します。既存クラスの名前の変更も可能です。詳細は、audit_class(4) のマニュアルページを参照してください。

表 23–1 事前に定義されている監査フラグ

短縮名 

ロング名 

短い説明 

all

all

すべてのクラス (メタクラス) 

no

no_class

イベントの事前選択を無効にする空の値

na

non_attrib

ユーザーが原因ではないイベント 

fr

file_read

データを読み取る、読み取りのために開く 

fw

file_write

データを書き込む、書き込みのために開く 

fa

file_attr_acc

オブジェクト属性にアクセスする :statpathconf

fm

file_attr_mod

オブジェクト属性を変更する :chownflock

fc

file_creation

オブジェクトの作成 

fd

file_deletion

オブジェクトの削除 

cl

file_close

close システムコール

ap

application

アプリケーションが定義するイベント 

ad

administrative

管理上の操作 (旧 administrative メタクラス) 

am

administrative

管理上の操作 (メタクラス) 

ss

system state

システムの状態を変更 

as

system-wide administration

システム全体の管理 

ua

user administration

ユーザー管理 

aa

audit administration

監査の使用 

ps

process start

プロセスの起動、プロセスの停止 

pm

process modify

プロセスの変更 

pc

process

プロセス (メタクラス) 

ex

exec

プログラムの実行 

io

ioctl

ioctl システムコール

ip

ipc

System V の IPC 操作

lo

login_logout

ログインとログアウトのイベント 

nt

network

ネットワークイベント: bindconnectaccept

ot

other

その他 

監査フラグの構文

監査フラグの接頭辞によって、イベントクラスが成功した場合に監査するのか、失敗した場合に監査するのか、が決まります。接頭辞を指定しなかったクラスは、成功した場合も失敗した場合も監査されます。次の表に、監査フラグの書式といくつかの例を示します。

表 23–2 接頭辞 (プラス記号、マイナス記号) の付いた監査フラグ

prefixflag

意味 

lo

成功したすべてのログインとログアウト、および失敗したすべてのログインを監査する。ログアウトが失敗することはない 

+lo

成功したすべてのログインとログアウトを監査する 

-all

失敗したすべてのイベントを監査する 

+all

成功したすべてのイベントを監査する 

注意 – 注意 –

all フラグを指定すると、大量のデータが生成され、監査ファイルシステムがすぐにいっぱいになる可能性があります。all フラグは、特別な理由ですべての活動を監査する場合にだけ使用してください。

監査フラグを変更する接頭辞

キャレット接頭辞 ^ を使えば、選択されている監査フラグをさらに変更できます。次の表は、キャレット接頭辞を使って選択済みの監査フラグを変更する方法を示したものです。

表 23–3 指定済みの監査フラグを変更するキャレット接頭辞

^prefixflag

意味 

-all,^-fc

失敗したすべてのイベントを監査する。ただし、失敗したファイルシステムオブジェクト作成は監査しない

am,^+aa

成功または失敗したすべての管理イベントを監査する。ただし、成功した監査管理は監査しない

am,^ua

成功または失敗したすべての管理イベントを監査する。ただし、ユーザー管理イベントは監査しない 

監査フラグの接頭辞は、次のファイルとコマンドで使用できます。

audit_control ファイル内での接頭辞の使用例については、audit_controlファイル を参照してください。