監査とは、システムリソースの使用状況に関するデータを収集することです。監査データは、セキュリティーに関連するシステムイベントの記録を提供します。このデータは、ホストで発生する動作に対する責任の割り当てに使用できます。
監査を正常に機能させるには、識別と認証という 2 つのセキュリティー機能が重要 です。ログインのたびに、ユーザーがユーザー名を指定して PAM (Pluggable Authentication Module) 認証が成功すると、一意で変更不可能な監査ユーザー ID が生成されてそのユーザーに関連付けられるとともに、一意の監査セッション ID が生成されてそのユーザーのプロセスに関連付けられます。監査セッション ID は、そのログインセッション中に起動されるすべてのプロセスに継承されます。ユーザーが別のユーザーに切り替えても、すべてのユーザーアクションが同じ監査ユーザー ID で追跡されます。ID の切り替えについての詳細は、su(1M) のマニュアルページを参照してください。デフォルトでは、システムのブートやシャットダウンなどの特定のアクションは常に監査されます。
監査サービスを使用すると、次の操作を実行できます。
ホスト上で発生するセキュリティーに関係するイベントのモニタリング
ネットワーク全体の監査トレールへのイベントの記録
誤った使用または権限のない動作の検出
アクセスパターンの確認と、ユーザーおよびオブジェクトのアクセス履歴の調査
保護メカニズムを迂回しようとする操作の検出
ユーザーが ID を変更するときに発生する特権の拡大使用の検出