監査レコード定義を表示するには、auditrecord コマンドを使用します。この定義によって、監査イベントの監査イベント番号、監査クラス、選択マスク、およびレコード書式が提供されます。
% auditrecord -options
コマンドで生成される画面出力は、使用するオプションによって異なります (次の部分的な一覧を参照)。
–p オプションは、プログラムの監査レコード定義を表示します。
–c オプションは、監査クラスの監査レコード定義を表示します。
–a オプションを指定すると、すべての監査イベント定義が一覧表示されます。
表示された出力をファイルに出力することもできます。
詳細は、auditrecord(1M) のマニュアルページを参照してください。
使用例 5-1 プログラムの監査レコード定義の表示この例では、login プログラムによって生成されたすべての監査レコードの定義が表示されます。ログインプログラムには、rlogin、telnet、newgrp、および Oracle Solaris の Secure Shell 機能が含まれています。
% auditrecord -p login ... login: logout program various See login(1) event ID 6153 AUE_logout class lo (0x0000000000001000) ... newgrp program newgrp See newgrp login event ID 6212 AUE_newgrp_login class lo (0x0000000000001000) ... rlogin program /usr/sbin/login See login(1) - rlogin event ID 6155 AUE_rlogin class lo (0x0000000000001000) ... /usr/lib/ssh/sshd program /usr/lib/ssh/sshd See login - ssh event ID 6172 AUE_ssh class lo (0x0000000000001000) ... telnet login program /usr/sbin/login See login(1) - telnet event ID 6154 AUE_telnet class lo (0x0000000000001000) …使用例 5-2 監査クラスの監査レコード定義の表示
この例では、Example 3–15 で作成された Example 3–15 クラス内のすべての監査レコードの定義が表示されます。
% auditrecord -c pf pfexec system call pfexec See execve(2) with pfexec enabled event ID 116 AUE_PFEXEC class pf (0x0100000000000000) header path pathname of the executable path pathname of working directory [privileges] privileges if the limit or inheritable set are changed [privileges] privileges if the limit or inheritable set are changed [process] process if ruid, euid, rgid or egid is changed exec_arguments [exec_environment] output if arge policy is set subject [use_of_privilege] return
use_of_privilege トークンは、特権が使用されている場合は常に記録されます。privileges トークンは、制限または継承可能セットが変更された場合に記録されます。process トークンは、ID が変更された場合に記録されます。これらのトークンをレコードに含めるために、ポリシーオプションは必要ありません。
使用例 5-3 監査レコード定義をファイルに出力するこの例では、すべての監査レコード定義を HTML 形式のファイルに出力するために、–h オプションが追加されています。この HTML ファイルをブラウザで表示する場合は、ブラウザの検索ツールを使用して特定の監査レコード定義を検索します。
% auditrecord -ah > audit.events.html