監査を有効にする方法

システムで Oracle Solaris の監査機能を構成および有効化する必要があります。Oracle Solaris 11 の監査はデフォルトで有効になっていますが、いくつかの構成段階を実行する必要があります。

1. /etc/security/audit_event ファイルおよび /etc/security/audit_class ファイルにカスタマイズを追加します。

   これらのカスタマイズは、Oracle Solaris のアップグレード全体に保持されますが、Oracle Solaris の新規インストール後は再度追加する必要があります。

   1. 次のエントリが存在していない場合は、audit_event ファイルに追加します。

      40700:AUE_ldoms:ldoms administration:vs

   2. 次のエントリが存在していない場合は、audit_class ファイルに追加します。

      0x10000000:vs:virtualization_software

2. (Oracle Solaris 10) vs クラスを /etc/security/audit_control ファイルに追加します。

   次の例の /etc/security/audit_control の部分は、vs クラスを指定する方法を示しています。

   dir:/var/audit
   flags:lo,vs
   minfree:20
   naflags:lo,na

3. (Oracle Solaris 10) 監査機能を有効にします。
   1. bsmconv コマンドを実行します。

      # /etc/security/bsmconv

   2. システムをリブートします。
4. (Oracle Solaris 11) vs 監査クラスを事前選択します。
   1. すでに選択されている監査クラスを確認します。

      すでに選択されているすべての監査クラスが、更新済みのクラスのセットの一部であることを確認します。次の例は、lo クラスがすでに選択されていることを示しています。

      # auditconfig -getflags
      active user default audit flags = lo(0x1000,0x1000)
      configured user default audit flags = lo(0x1000,0x1000)

   2. vs 監査クラスを追加します。

      # auditconfig -setflags [class],vs

      class は、コンマで区切ったゼロ以上の監査クラスです。/etc/security/audit_class ファイルで、監査クラスのリストを確認できます。Oracle VM Server for SPARC システムに vs クラスを含めてください。

      たとえば、次のコマンドは、lo および vs クラスの両方を選択します。

      # auditconfig -setflags lo,vs

   3. (オプション) プロセスを、管理者または構成者のいずれかとして監査する場合は、システムからログアウトします。

      ログアウトしたくない場合は、Oracle Solaris 11.1 Administration: Security Services のHow to Update the Preselection Mask of Logged In Usersを参照してください。

5. 監査ソフトウェアが実行されていることを確認します。

   # auditconfig -getcond

   監査ソフトウェアが実行されている場合は、出力に audit condition = auditing が表示されます。