監査の機能

監査では、指定したイベントが発生したときに監査レコードが生成されます。通常、次のイベントが発生すると監査レコードが生成されます。

• システムの起動とシャットダウン

• ログインとログアウト

• プロセスまたはスレッドの作成と破棄

• オブジェクトを開く、閉じる、削除する、または名前を変更する

• 特権機能または役割に基づくアクセス制御 (RBAC) の使用

• 識別動作と認証動作

• プロセスまたはユーザーによるアクセス権の変更

• パッケージのインストールなどの管理動作

• サイト固有のアプリケーション

次の 3 つが監査レコードの生成元になります。

• アプリケーション

• 非同期監査イベントの結果

• プロセスのシステムコールの結果

関連するイベント情報が取得されると、その情報は監査レコードの書式に変換されます。次に、レコードは監査ファイルに書き込まれます。完全な監査レコードがバイナリ形式で格納されます。Solaris 10 リリースでは、syslog ユーティリティーを使用して、監査レコードを記録することもできます。

バイナリ形式の監査ファイルは、ローカルファイルシステムに格納できます。ファイルは、NFS がマウントされたファイルサーバーにも格納できます。監査ファイルの配置先として、同一システム上の複数のパーティション、異なる複数のシステム上のパーティション、または異なるが接続されているネットワーク上の複数のシステム上のパーティションを選択できます。接続された監査ファイルの集合は、監査トレールと呼ばれます。監査レコードは、発生順に監査ファイルに蓄積されます。各監査レコードには、イベントを識別する情報、イベントの発生元、イベントの時刻、およびその他の関連情報が格納されます。

監査レコードは、syslog ユーティリティーを使用して監視することもできます。これらの監査ログはローカルに格納することができます。あるいは、ログは、UDP プロトコルを使用して遠隔システムに送信することもできます。詳細は、「監査ログ」を参照してください。