監査ポリシーについて
監査ポリシーによって、ローカルシステムの監査レコードの特性が決定されます。これらのポリシーを設定するには、auditconfig コマンドを使用します。詳細は、auditconfig(1M) のマニュアルページを参照してください。
記憶領域の要件やシステム処理への要求を最小限に抑えるために、デフォルトでは、ほとんどの監査ポリシーオプションが無効になっています。これらのオプションは監査サービスのプロパティーであり、システムブート時に有効になるポリシーを決定します。詳細は、auditconfig(1M) のマニュアルページを参照してください。
次の表を参照して、1 つまたは複数の監査ポリシーオプションを有効にしたときに発生する追加のオーバーヘッドを考慮しながら、サイトの要件を決定してください。
表 27-1 監査ポリシーオプションの働き
|
|
|
|
非同期イベントにだけ適用されます。無効にすると、監査レコードが生成されないまま、イベントを完了できます。 有効になっている場合、このポリシーは、監査キューがいっぱいになるとシステムを停止します。監査キューの再配置、監査レコードの空き容量の確保、およびリブートは管理者の介入が必要です。大域ゾーンでだけ有効にできます。ポリシーはすべてのゾーンに影響します。 |
|
|
無効になっている場合、このポリシーは、実行されたプログラムの環境変数を execve 監査レコードから除外します。 有効になっている場合、このポリシーは、実行されたプログラムの環境変数を execve 監査レコードに追加します。監査レコードには、より詳細な情報が記録されます。 |
無効にすると、収集される情報が大幅に少なくなります。比較については、 「ユーザーによるすべてのコマンドを監査する方法」を参照してください。 このオプションは、少数のユーザーを監査するときに有効にします。このオプションはまた、ex 監査クラス内のプログラムで使用されている環境変数が疑わしい場合にも役立ちます。 |
|
無効になっている場合、このポリシーは、実行されたプログラムの引数を execve 監査レコードから除外します。 有効になっている場合、このポリシーは、実行されたプログラムの引数を execve 監査レコードに追加します。監査レコードには、より詳細な情報が記録されます。 |
無効にすると、収集される情報が大幅に少なくなります。比較については、 「ユーザーによるすべてのコマンドを監査する方法」を参照してください。 このオプションは、少数のユーザーを監査するときに有効にします。このオプションはまた、ex 監査クラス内の異常なプログラムが実行されていると考えられる理由がある場合にも役立ちます。 |
|
無効にすると、ユーザーまたはアプリケーションの実行がブロックされます。このブロックは、監査キューがいっぱいになったために、監査レコードを監査トレールに追加できない場合に実行されます。 有効にすると、監査レコードが生成されないまま、イベントを完了できます。生成されなかった監査レコードのカウントは行われます。 |
|
|
無効にすると、グループの一覧が監査レコードに追加されません。 有効にすると、グループの一覧が特別なトークンとしてすべての監査レコードに追加されます。 |
通常は無効にしてもサイトのセキュリティー要件は満たします。 有効になったオプションは、サブジェクトがどの補助グループに属しているかを監査する必要がある場合に意味を持ちます。 |
|
無効にすると、1
つのシステムコールで使用されたパスが、あっても 1 つだけ監査レコードに記録されます。 有効にすると、監査イベントで使用されたすべてのパスが、すべての監査レコードに記録されます。 |
無効にすると、監査レコードにパスが、あっても 1 つだけ記録されます。 有効にすると、1 つのシステムコールで使用された各ファイル名またはパスが、監査レコードに path トークンとして記録されます。 |
|
無効にすると、システムの単一の監査構成を保守します。大域ゾーンで 1 つの監査サービスが実行されます。 zonename 監査トークンが事前選択された場合は、特定のゾーン内の監査イベントを監査レコード内に配置できます。 有効になっている場合、このポリシーは、ゾーンごとに個別の監査構成、監査キュー、および監査ログを保持します。各ゾーンで監査サービスが実行されます。大域ゾーンでだけ有効にできます。 |
各ゾーンごとに監査ログ、キュー、およびデーモンを保守する理由が特にない場合は、無効にすると便利です。 有効になったオプションは、zonename 監査トークンを含む監査レコードを検査するだけではシステムを効率的に監視できない場合に役立ちます。 |
|
無効にすると、ファイルの読み取りが事前に選択されている場合に、公開オブジェクトの読み取り専用イベントが監査トレールに追加されなくなります。読み取り専用イベントを含む監査クラスとしては、 fr、 fa、および
cl があります。 有効にすると、適切な監査フラグが事前に選択されている場合、公開オブジェクトの読み取り専用監査イベントのすべてが記録されます。 |
通常は無効にしてもサイトのセキュリティー要件は満たします。 このオプションを有効にするのはまれです。 |
|
無効にすると、すべての監査レコードに順序番号が追加されません。 有効にすると、すべての監査レコードに順序番号が追加されます。順序番号は sequence トークンに格納されます。 |
監査が問題なく動作しているときは、無効にしても構いません。 cnt ポリシーが有効なときは、有効にする意味があります。seq ポリシーを使用すると、データがいつ破棄されたかを判定できます。また、auditstat コマンドを使用すると、破棄されたレコードを表示することもできます。 |
|
無効にすると、 trailer トークンが監査レコードに追加されません。 有効にすると、trailer トークンがすべての監査レコードに追加されます。 |
無効にすると、作成される監査レコードが小さくなります。 有効にすると、各監査レコードの最後に trailer トークンが常に付加されます。trailer トークンは多くの場合、sequence
トークンとともに使用されます。trailer トークンは、破損した監査トレールの回復に役立ちます。 |
|
無効にすると、 zonename トークンが監査レコードに含まれません。 有効になっている場合、このポリシーでは、すべての監査レコード内に zonename トークンが含まれます。 |
無効になったオプションは、ゾーンごとに監査動作を追跡する必要がない場合に役立ちます。 有効になったオプションは、ゾーンに応じてレコードを事後選択することによって、ゾーン間で監査動作を分離したり、比較したりする場合に役立ちます。 |
|