監査サービスは、次のパラメータによって規制されます。
ユーザーに起因するイベントおよびユーザーに起因しないイベントのクラス
監査ポリシー
監査プラグイン
キュー制御
監査サービスのデフォルトを表示するには、通常、auditconfig -get* サブコマンドを使用します。このサブコマンドは、アスタリスク (*) で表したパラメータ (–getflags、–getpolicy、–getqctrl など) の現在の構成を表示します。ユーザーに起因しないイベントのクラスに関する情報を表示するには、auditconfig -getnaflags サブコマンドを使用します。
auditconfig コマンドの詳細は、auditconfig(1M) のマニュアルページを参照してください。
次の例では、監査構成のデフォルト設定を表示するために使用する適切なコマンド構文を示します。
使用例 3-1 イベントのデフォルトクラスを表示するこの例では、ユーザーに起因するイベントおよびユーザーに起因しないイベントの事前選択されたクラスを表示するために、2 つのサブコマンドが使用されています。クラスにどのイベントが割り当てられているか、したがってどのイベントが記録されるかを表示するには、auditrecord -c class コマンドを実行します。
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
lo は、login/logout 監査クラスのフラグです。マスク出力の形式は (success,failure) です。
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)使用例 3-2 デフォルトの監査ポリシーを表示する
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
アクティブなポリシーは現在のポリシーですが、このポリシーの値は監査サービスによって格納されていません。構成されたポリシーは監査サービスによって格納されるため、このポリシーは監査サービスを再開したときに復元されます。
使用例 3-3 デフォルトの監査プラグインを表示する$ auditconfig -getplugin Plugin: audit_binfile Attributes: p_dir=/var/audit;p_fsize=0;p_minfree=1; Plugin: audit_syslog (inactive) Attributes: p_flags=; Plugin: audit_remote (inactive) Attributes: p_hosts=;p_retries=3;p_timeout=5;
デフォルトでは、audit_binfile プラグインがアクティブです。
使用例 3-4 監査キュー制御を表示する$ auditconfig -getqctrl no configured audit queue hiwater mark no configured audit queue lowater mark no configured audit queue buffer size no configured audit queue delay active audit queue hiwater mark (records) = 100 active audit queue lowater mark (records) = 10 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
アクティブなキュー制御は、カーネルによって現在使用されているキュー制御です。no configured の文字列は、システムがデフォルト値を使用していることを示します。