Formats de jeton d'audit

Chaque jeton d'audit possède un identificateur de type de jeton, suivi par les données spécifiques au jeton. Le tableau ci-après indique les noms de jetons avec une brève description de chaque jeton. Les jetons obsolètes sont conservés pour des raisons de compatibilité avec les versions précédentes de Solaris.

Tableau 29-1 Jetons d'audit pour l'audit

Nom de variable Description Voir acl Informations sur l'entrée de contrôle d'accès (ACE, Access Control Entry) et la liste de contrôle d'accès (ACL, Access Control List) Jeton acl arbitrary Données avec informations de format et de type Reportez-vous à la page de manuel audit.log(4). argument Valeur de l'argument d'appel système Jeton argument attribut Informations sur le fichier vnode Jeton attribute cmd Arguments de commande et variables d'environnement Jeton cmd exec_args Arguments d'appel système Exec Jeton exec_args exec_env Variables d'environnement d'appel système Exec Jeton exec_env exit Informations sur la sortie du programme Reportez-vous à la page de manuel audit.log(4). file Informations sur le fichier d'audit Jeton file fmri Identificateur de ressource de gestion de structure Jeton fmri group Informations sur les groupes de processus Jeton group header Indique le début de l'enregistrement d'audit Jeton header ip Informations sur l'en-tête IP Reportez-vous à la page de manuel audit.log(4). ip address Adresse Internet Jeton ip address ip port Adresse du port Internet Jeton ip port ipc Informations sur l'IPC System V Jeton ipc IPC_perm Informations sur l'accès à l'objet IPC System V Jeton IPC_perm opaque Données non structurées (format non spécifié) Reportez-vous à la page de manuel audit.log(4). path Informations relatives aux chemins Jeton path path_attr Informations relatives aux chemins d'accès Jeton path_attr privilege Informations sur le jeu de privilèges Jeton privilege process Informations sur le processus Jeton process return Statut des appels système Jeton return sequence Numéro de séquence Jeton sequence socket Types de socket et adresses Jeton socket sujet Informations sur subject (même format que process) Jeton subject text Chaîne de caractères ASCII Jeton text trailer Indique la fin de l'enregistrement d'audit Jeton trailer use of authorization Utilisation d'autorisation Jeton use of authorization use of privilege Utilisation de privilège Jeton use of privilege user ID utilisateur et nom de l'utilisateur Jeton user xclient Identification du client X Jeton xclient zonename Nom de la zone Jeton zonename Jetons Trusted Extensions Informations sur le système Window X et label Reportez-vous à la section Référence de l’audit Trusted Extensions du manuel Configuration et administration d’Oracle Solaris Trusted Extensions.

Les jetons suivants sont obsolètes :

• liaison

• host

• tid

Pour plus d'informations sur les jetons obsolètes, reportez -vous au matériel de référence de la version qui inclut le jeton.

Un enregistrement d'audit commence toujours par un jeton header. Ce jeton header indique l'endroit où l'enregistrement d'audit commence dans la piste d'audit. Dans le cas d'événements attribuables, les jetons subject et process font référence aux valeurs du processus qui ont causé l'événement. Dans le cas d'événements non attribuables, le jeton process fait référence au système.

Jeton acl

Le jeton acl possède deux formes d'enregistrement d'informations sur ACE (Access Control Entries) pour un système de fichiers ZFS et ACL (Access Control Lists) pour un système de fichiers UFS.

Lorsque le jeton acl est enregistré pour un système de fichiers UFS, la commande praudit -x affiche les champs comme suit :

<acl type="1" value="root" mode="6"/>

Lorsque le jeton acl est enregistré pour un jeu de données ZFS, la commande praudit -x affiche les champs comme suit :

<acl who="root" access_mask="default" flags="-i,-R" type="2"/>

Jeton argument

Le jeton argument contient des informations sur les arguments d'un appel système : le numéro de l'argument de l'appel système, la valeur de l'argument et une description facultative. Ce jeton autorise un argument d'appel système de type entier 32 bits dans un enregistrement d'audit.

La commande praudit -x affiche les champs du jeton argument, comme suit :

<argument arg-num="2" value="0x5401" desc="cmd"/>

Jeton attribute

Le jeton attribute contient des informations issues du fichier vnode.

Le jeton attribute s'accompagne habituellement d'un jeton path. Le jeton attribute est produit pendant les recherches de chemins. Si une erreur de recherche de chemin se produit, aucun vnode ne permet d'obtenir les informations requises sur le fichier. Par conséquent, le jeton attribute n'est pas inclus dans l'enregistrement d'audit. La commande praudit -x affiche les champs du jeton attribute, comme suit :

<attribute mode="20620" uid="root" gid="tty" fsid="0" nodeid="9267" device="108233"/>

Jeton cmd

Le jeton cmd enregistre la liste d'arguments et la liste de variables d'environnement associées à une commande.

La commande praudit -x affiche les champs du jeton cmd : L'exemple suivant est un jeton cmd tronqué. La ligne est renvoyée à des fins d'affichage.

<cmd><arge>WINDOWID=6823679</arge>
<arge>COLORTERM=gnome-terminal</arge>
<arge>...LANG=C</arge>...<arge>HOST=machine1</arge>
<arge>LPDEST=printer1</arge>...</cmd>

Jeton exec_args

Le jeton exec_args enregistre les arguments d'un appel système exec().

La commande praudit -x affiche les champs du jeton exec_args, comme suit :

<exec_args><arg>/usr/bin/sh</arg><arg>/usr/bin/hostname</arg></exec_args>

Jeton exec_env

Le jeton exec_env enregistre les variables d'environnement actuel transmises à un appel système exec().

La commande praudit -x affiche les champs du jeton exec_env. La ligne est renvoyée à des fins d'affichage.

<exec_env><env>_=/usr/bin/hostname</env>
<env>LANG=C</env><env>PATH=/usr/bin:/usr/ucb</env>
<env><env>LOGNAME=jdoe</env><env>USER=jdoe</env>
<env>DISPLAY=:0</env><env>SHELL=/bin/csh</env>
<env>HOME=/home/jdoe</env><env>PWD=/home/jdoe</env><env>TZ=US/Pacific</env>
</exec_env>

Jeton file

Le jeton file est un jeton spécial qui marque le début d'un nouveau fichier d'audit et la fin d'un ancien fichier d'audit lorsque ce dernier est désactivé. Le premier jeton file identifie le fichier précédent dans la piste d'audit. Le dernier jeton file identifie le fichier suivant dans la piste d'audit. Ces jetons "lient" les fichiers d'audit successifs dans une piste d'audit unique.

La commande praudit -x affiche les champs du jeton file. La ligne est renvoyée à des fins d'affichage.

<file iso8601="2009-04-08 14:18:26.200 -07:00">
/var/audit/machine1/files/20090408211826.not_terminated.machine1</file>

Jeton fmri

Le jeton fmri enregistre l'utilisation d'un indicateur de ressource de gestion des pannes (FMRI, Fault Management Resource Indicator). Pour plus d'informations, reportez-vous à la page de manuel smf(5)

La commande praudit -x affiche le contenu du jeton fmri :

<fmri service_instance="svc:/system/cryptosvc"</fmri>

Jeton group

Le jeton group enregistre les entrées de groupe dans les données d'identification du processus.

La commande praudit -x affiche les champs du jeton groups, comme suit :

<group><gid>staff</gid><gid>other</gid></group>

Jeton header

Le jeton header est spécial car il marque le début d'un enregistrement d'audit. Le jeton header se combine avec le jeton trailer pour entourer tous les autres jetons de l'enregistrement.

Parfois, un jeton header peut inclure un ou plusieurs modificateurs d'événement :

• fe indique un événement d'audit qui a échoué

• fp indique l'utilisation manquée d'un privilège

• na indique un événement non attribuable

  header,52,2,system booted,na,mach1,2011-10-10 10:10:20.564 -07:00

• rd indique que les données sont lues à partir de l'objet

• sp indique l'utilisation réussie d'un privilège

  header,120,2,exit(2),sp,mach1,2011-10-10 10:10:10.853 -07:00

• wr indique que les données sont écrites sur l'objet

La commande praudit affiche le jeton header de la manière suivante :

header,756,2,execve(2),,machine1,2010-10-10 12:11:10.209 -07:00

La commande praudit -x affiche les champs du jeton header au début de l'enregistrement d'audit. La ligne est renvoyée à des fins d'affichage.

<record version="2" event="execve(2)" host="machine1" 
iso8601="2010-10-10 12:11:10.209 -07:00">

Jeton ip address

Le jeton ip address contient une adresse IP (Internet Protocol). L'adresse IP peut être affichée au format IPv4 ou IPv6. L'adresse IPv4 utilise 4 octets. L'adresse IPv6 utilise 1 octet pour décrire le type d'adresse, et 16 octets pour décrire l'adresse.

La commande praudit -x affiche le contenu du jeton ip address, comme suit :

<ip_address>machine1</ip_address>

Jeton ip port

Le jeton ip port contient l'adresse de port TCP ou UDP.

La commande praudit affiche le jeton ip port de la manière suivante :

ip port,0xf6d6

Jeton ipc

Le jeton ipc contient les identificateurs IPC System V de message, de sémaphore ou de mémoire partagée qui sont utilisés par le programme appelant pour identifier un objet IPC.

Le tableau ci-dessous présente les valeurs possibles du champ du type d'objet IPC. Ces valeurs sont définies dans le fichier /usr/include/bsm/audit.h.

Tableau 29-2 Valeurs du champ du type d'objet IPC

Nom Valeur Description AU_IPC_MSG 1 Objet de message IPC AU_IPC_SEM 2 Objet de sémaphore IPC AU_IPC_SHM 3 Objet de mémoire partagée IPC

La commande praudit -x affiche les champs du jeton ipc, comme suit :

<IPC ipc-type="shm" ipc-id="15"/>

Jeton IPC_perm

Le jeton IPC_perm contient une copie des autorisations d'accès de l'IPC System V. Ce jeton est ajouté aux enregistrements d'audit générés par les événements IPC de mémoire partagée, de sémaphore et de message.

La commande praudit -x affiche les champs du jeton IPC_perm. La ligne est renvoyée à des fins d'affichage.

<IPC_perm uid="jdoe" gid="staff" creator-uid="jdoe" 
creator-gid="staff" mode="100600" seq="0" key="0x0"/>

Les valeurs sont récupérées de la structure IPC_perm associée à l'objet IPC.

Jeton path

Le jeton path contient les informations de chemin d'accès pour un objet.

La commande praudit -x affiche le contenu du jeton path :

<path>/export/home/srv/.xsession-errors</path>

Jeton path_attr

Le jeton path_attr contient les informations de chemin d'accès pour un objet. Le chemin d'accès spécifie la séquence d'objets de fichier d'attributs figurant sous l'objet de jeton path. Les appels système tels que openat() accèdent aux fichiers d'attributs. Pour plus d'informations sur les objets fichiers d'attributs, reportez-vous à la page de manuel fsattr(5).

La commande praudit affiche le jeton path_attr de la manière suivante :

path_attr,1,attr_file_name

Jeton privilege

Le jeton privilege enregistre l'utilisation de privilèges sur un processus. Le jeton privilege n'est pas enregistrée pour les privilèges du jeu de base. Si un privilège a été supprimé du jeu de base par une action administrative, alors l'utilisation de ce privilège est enregistrée. Pour plus d'informations sur les privilèges, reportez-vous à la section Privilèges (présentation)

La commande praudit -x affiche les champs du jeton privilege.

<privilege set-type="Inheritable">ALL</privilege>

Jeton process

Le jeton process contient des informations sur l'utilisateur associé à un processus, tels que le destinataire d'un signal.

La commande praudit -x affiche les champs du jeton process. La ligne est renvoyée à des fins d'affichage.

<process audit-uid="-2" uid="root" gid="root" ruid="root" 
rgid="root" pid="567" sid="0" tid="0 0 0.0.0.0"/>

Jeton return

Le jeton return contient l'état de retour de l'appel système (u_error) et la valeur de retour du processus (u_rval1).

Le jeton return est toujours retourné dans le cadre des enregistrements d'audit générés par le noyau pour les appels système. Dans l'audit de l'application, ce jeton indique l'état de sortie et d'autres valeurs de retour.

La commande praudit affiche le jeton return de la manière suivante :

return,failure: Operation now in progress,-1

La commande praudit -x affiche les champs du jeton return, comme suit :

<return errval="failure: Operation now in progress" retval="-1/">

Jeton sequence

Le jeton sequence contient un numéro de séquence. Le numéro de séquence est incrémenté chaque fois qu'un enregistrement d'audit est ajouté à la piste d'audit. Ce jeton est utile pour le débogage.

La commande praudit -x affiche le contenu du jeton sequence :

<sequence seq-num="1292"/>

Jeton socket

Le jeton socket contient des informations qui décrivent un socket Internet. Dans certains cas, le jeton n'inclut que le port distant et l'adresse IP distante.

La commande praudit affiche l'instance du jeton socket de la manière suivante :

socket,0x0002,0x83b1,localhost

Le jeton développé ajoute des informations, y compris sur le type de socket et le port local.

La commande praudit -x affiche cette instance du jeton socket de la manière suivante : La ligne est renvoyée à des fins d'affichage.

<socket sock_domain="0x0002" sock_type="0x0002" lport="0x83cf" 
laddr="example1" fport="0x2383" faddr="server1.Subdomain.Domain.COM"/>

Jeton subject

Le jeton subject décrit un utilisateur qui exécute ou tente d'effectuer une opération. Le format est le même que le jeton process.

Le jeton subject est toujours retourné dans le cadre des enregistrements d'audit générés par le noyau pour les appels système. La commande praudit affiche le jeton subject de la manière suivante :

subject,jdoe,root,root,root,root,1631,1421584480,8243 65558 machine1

La commande praudit -x affiche les champs du jeton subject. La ligne est renvoyée à des fins d'affichage.

<subject audit-uid="jdoe" uid="root" gid="root" ruid="root" 
rgid="root" pid="1631" sid="1421584480" tid="8243 65558 machine1"/>

Jeton text

Le jeton text contient une chaîne de texte.

La commande praudit -x affiche le contenu du jeton text :

<text>booting kernel</text>

Jeton trailer

Les deux jetons, header et trailer, sont spéciaux car ils distinguent les points de fin d'un enregistrement d'audit et entourent tous les autres jetons. Un jeton header commence par un enregistrement d'audit. Un jeton trailer se termine par un enregistrement d'audit. Le jeton trailer est facultatif. Le jeton trailer est ajouté en tant que dernier jeton de chaque enregistrement uniquement lorsque l'option de stratégie d'audit trail a été définie.

Lorsqu'un enregistrement d'audit est généré avec des blocs de fin activés, la commande auditreduce peut vérifier que le bloc de fin pointe correctement vers l'en-tête d'enregistrement. Le jeton trailer prend en charge les recherches en arrière dans la piste d'audit.

La commande praudit affiche le jeton trailer comme suit :

trailer,136

Jeton use of authorization

Le jeton use of authorization enregistre l'utilisation d'autorisation.

La commande praudit affiche le jeton use of authorization de la manière suivante :

use of authorization,solaris.role.delegate

XXXX<use_of_authorization result="successful use of auth">solaris.role.delegate</use_of_auth>

Jeton use of privilege

Le jeton use of privilege enregistre l'utilisation de privilège.

La commande praudit -x affiche les champs du jeton use of privilege, comme suit :

<use_of_privilege result="successful use of priv">proc_setid</use_of_privilege>

Jeton user

Le jeton user enregistre le nom et l'ID de l'utilisateur. Ce jeton est présent si le nom d'utilisateur est différent de celui de l'appelant.

La commande praudit -x affiche les champs du jeton user, comme suit :

<user uid="123456" username="tester1"/>

Jeton xclient

Le jeton xclient contient le numéro de la connexion client au serveur X.

La commande praudit -x affiche le contenu du jeton xclient, comme suit :

<X_client>15</X_client>

Jeton zonename

Le jeton zonename enregistre la zone dans laquelle l'événement d'audit s'est produit. La chaîne "global" indique les événements d'audit qui se produisent dans la zone globale.

La commande praudit -x affiche le contenu du jeton zonename :

<zone name="graphzone"/>