ドキュメントの品質向上のためのご意見をください

簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
--選択-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) その他の言語 その他

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか？

アンケートに回答しますいいえ、回答しません

auditrecord

- Solaris 監査レコード形式の表示

形式

/usr/sbin/auditrecord [-d] [ [-a] | [-e string] | [-c class] |
      [-i id] | [-p programname] | [-s systemcall] | [-h]]

機能説明

auditrecord ユーティリティーは、audit_event(4) で定義された監査レコードイベントタイプのイベント ID、監査クラスと選択マスク、およびレコード形式を表示します。auditrecord を使用すれば、すべての監査レコード形式の一覧を生成したり、イベントクラス、イベント名、生成元プログラム名、システムコール名、またはイベント ID に基づいて監査レコード形式を選択したりできます。

出力形式は 2 つあります。デフォルト形式は端末ウィンドウで表示するためのもので、オプションの HTML 形式は Web ブラウザで表示するためのものです。

角括弧 ( [ ] ) で囲まれたトークンは省略可能で、すべてのレコードに存在するわけではありません。

オプション

サポートしているオプションは、次のとおりです。

-a

すべての監査レコードを一覧表示します。

-c class

class で選択されたすべての監査レコードを一覧表示します。class は、ファイル /etc/security/audit_class からの 2 文字クラスコードの 1 つです。

-d

デバッグモード。audit_event に定義されている監査レコードの数、audit_class に定義されているクラスの数、および 2 つのファイルの間の不一致を表示し、auditrecord で使用可能な形式情報がどの定義済みイベントに含まれていないかを報告します。

-e string

イベント ID ラベルに文字列 string が含まれているすべての監査レコードを一覧表示します。照合では大文字と小文字は区別されません。

-h

HTML 形式で出力を生成します。

-i id

数値イベント ID id を持つ監査レコードを一覧表示します。

-p programname

プログラム programname によって生成されるすべての監査レコード (ユーザー領域プログラムによって生成される監査レコードなど) を一覧表示します。

-s systemcall

システムコール systemcall によって生成されるすべての監査レコード (システムコールによって生成される監査レコードなど) を一覧表示します。

-p オプションと -s オプションは同じものの異なる名前で、相互排他的です。-c、-e、-i、-p、-s のいずれかを指定すると、-a オプションは無視されます。-c、-e、-i、および -p または -s の組み合わせは、AND でつながれます。

使用例

例 1 指定されたイベント ID を持つ監査レコードを表示する

次の例では、指定された監査レコードの内容を表示する方法を示します。

% auditrecord -i 6152
  terminal login
  program     /usr/sbin/login      see login(1)
              /usr/dt/bin/dtlogin  See dtlogin
  event ID    6152                 AUE_login
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

例 2 指定された文字列が含まれるイベント ID ラベルを持つ監査レコードを表示する

次の例では、文字列 login が含まれるイベント ID ラベルを持つ監査レコードの内容を表示する方法を示します。

# auditrecord -e login
terminal login
  program     /usr/sbin/login      see login(1)
              /usr/dt/bin/dtlogin  See dtlogin
  event ID    6152                 AUE_login
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

rlogin
  program     /usr/sbin/login      see login(1) - rlogin
  event ID    6155                 AUE_rlogin
  class       lo                   (0x00001000)
      header
      subject
      [text]                       error message
      return

終了ステータス

0

処理成功

0 以外

エラー

ファイル

/etc/security/audit_class

有効なクラスと関連する監査マスクのリストを提供します。

/etc/security/audit_event

数値イベント ID、リテラルイベント名、および関連するシステムコールまたはプログラムの名前を提供します。

属性

属性についての詳細は、マニュアルページの attributes(5) を参照してください。

関連項目

auditconfig(1M), praudit(1M), audit.log(4), audit_class(4), audit_event(4), attributes(5)

『Oracle Solaris 11.1 の管理: セキュリティーサービス』の監査に関するセクションを参照してください。

診断

入力ファイルのいずれかを読み取れないか出力ファイルを書き込めない場合、auditrecord は失敗したファイルの名前を表示し、ゼロ以外の値を返して終了します。

オプションが 1 つも指定されなかった場合、無効なオプションが指定された場合、または -s と -p の両方が指定された場合は、エラーメッセージが表示され、auditrecord は使用法メッセージを表示してからゼロ以外の値を返して終了します。

注意事項

このコマンドは以前は bsmrecord として知られていました。

ユーザー定義監査イベントを追加するために /etc/security/audit_event が変更されていた場合、auditrecord はレコード形式を undefined として表示します。

auditrecord で表示される監査レコードは、生成可能なレコードのコアです。次に示すようなさまざまな監査ポリシーやオプショントークンも存在している可能性があります。

praudit(1M) トークン名とその説明の一覧を示します。

group

group 監査ポリシーが設定されている場合に存在します。

sensitivity label

Trusted Extensions が有効になっている場合に存在し、関連付けられたサブジェクトまたはオブジェクトのラベルを表します。ラベルが明示的にレコードの一部である基本監査レコードでは、mandatory_label トークンが見られます。

sequence

seq 監査ポリシーが設定されている場合に存在します。

trailer

trail 監査ポリシーが設定されている場合に存在します。

zone

レコードを生成するゾーンの名前 (zonename 監査ポリシーが設定されている場合)。ゾーン名が明示的にレコードの一部である基本監査レコードでは、zonename トークンが見られます。