監査ポリシーについて

言語:

監査ポリシーによって、ローカルシステムの監査レコードの特性が決定されます。これらのポリシーを設定するには、auditconfig コマンドを使用します。詳細は、auditconfig(1M) のマニュアルページを参照してください。

ストレージの要件やシステム処理への要求を最小限に抑えるために、デフォルトでは、ほとんどの監査ポリシーオプションが無効になっています。これらのオプションは監査サービスのプロパティーであり、システムブート時に有効になるポリシーを決定します。詳細は、auditconfig(1M) のマニュアルページを参照してください。

次の表を参照して、1 つまたは複数の監査ポリシーオプションを有効にしたときに発生する追加のオーバーヘッドを考慮しながら、サイトの要件を決定してください。

表 3 監査ポリシーオプションの働き

ポリシー名	説明	ポリシーに関する考慮事項
`ahlt`	非同期イベントにだけ適用されます。無効にすると、監査レコードが生成されないまま、イベントを完了できます。有効になっている場合、このポリシーは、監査キューがいっぱいになるとシステムを停止します。監査キューの再配置、監査レコードの空き容量の確保、およびリブートは管理者の介入が必要です。このポリシーは、大域ゾーンでのみ有効にすることができます。ポリシーはすべてのゾーンに影響します。	システムの可用性の方がセキュリティーよりも重要な場合は、このオプションを無効にすることをお勧めします。セキュリティーを最優先にする環境では、このオプションを有効にすることをお勧めします。詳細は、非同期イベントおよび同期イベントの監査ポリシーを参照してください。
`arge`	無効になっている場合、このポリシーは、実行されたプログラムの環境変数を `execve` 監査レコードから除外します。有効になっている場合、このポリシーは、実行されたプログラムの環境変数を `execve` 監査レコードに追加します。監査レコードには、より詳細な情報が記録されます。	無効にすると、収集される情報が大幅に少なくなります。比較については、ユーザーによるすべてのコマンドを監査する方法を参照してください。少数のユーザーを監査する場合は、このオプションを有効にすることをお勧めします。このオプションはまた、`ex` 監査クラス内のプログラムで使用されている環境変数が不確かな場合にも役立ちます。
`argv`	無効になっている場合、このポリシーは、実行されたプログラムの引数を `execve` 監査レコードから除外します。有効になっている場合、このポリシーは、実行されたプログラムの引数を `execve` 監査レコードに追加します。監査レコードには、より詳細な情報が記録されます。	無効にすると、収集される情報が大幅に少なくなります。比較については、ユーザーによるすべてのコマンドを監査する方法を参照してください。少数のユーザーを監査する場合は、このオプションを有効にすることをお勧めします。このオプションはまた、`ex` 監査クラス内の異常なプログラムが実行されていると考えられる理由がある場合にも役立ちます。
`cnt`	無効にすると、ユーザーまたはアプリケーションの実行がブロックされます。このブロックは、監査キューがいっぱいになったために、監査レコードを監査トレールに追加できない場合に実行されます。有効にすると、監査レコードが生成されないまま、イベントを完了できます。生成されなかった監査レコードのカウントは行われます。	セキュリティーを最優先にする環境では、このオプションを無効にすることをお勧めします。システムの可用性の方がセキュリティーよりも重要な場合は、このオプションを有効にすることをお勧めします。詳細は、非同期イベントおよび同期イベントの監査ポリシーを参照してください。
`group`	無効にすると、グループの一覧が監査レコードに追加されません。有効にすると、グループの一覧が特別なトークンとしてすべての監査レコードに追加されます。	通常は無効にしてもサイトのセキュリティー要件は満たします。サブジェクトがどの補助グループに属しているかを監査する必要がある場合は、このオプションを有効にすることをお勧めします。
`path`	無効にすると、1 つのシステムコールで使用されたパスが、あっても 1 つだけ監査レコードに記録されます。有効にすると、監査イベントで使用されたすべてのパスが、すべての監査レコードに記録されます。	無効にすると、監査レコードにパスが、あっても 1 つだけ記録されます。有効にすると、1 つのシステムコールで使用された各ファイル名またはパスが、監査レコードに `path` トークンとして記録されます。
`perzone`	無効にすると、システムの単一の監査構成を保守します。大域ゾーンで 1 つの監査サービスが実行されます。`zonename` 監査トークンが事前選択された場合は、特定のゾーン内の監査イベントを監査レコード内に配置できます。有効になっている場合、このポリシーは、ゾーンごとに個別の監査構成、監査キュー、および監査ログを保持します。各ゾーンで監査サービスが実行されます。大域ゾーンでだけ有効にできます。	各ゾーンごとに監査ログ、キュー、およびデーモンを保守する理由が特にない場合は、無効にすると便利です。有効になったオプションは、`zonename` 監査トークンを含む監査レコードを検査するだけではシステムを効率的にモニターできない場合に役立ちます。
`public`	無効にすると、ファイルの読み取りが事前に選択されている場合に、公開オブジェクトの読み取り専用イベントが監査トレールに追加されなくなります。読み取り専用イベントを含む監査クラスとしては、`fr`、`fa`、および `cl` があります。有効にすると、適切な監査クラスが事前に選択されている場合、公開オブジェクトの読み取り専用監査イベントのすべてが記録されます。	通常は無効にしてもサイトのセキュリティー要件は満たします。このオプションを有効にするのはまれです。
`seq`	無効にすると、すべての監査レコードに順序番号が追加されません。有効にすると、すべての監査レコードに順序番号が追加されます。順序番号は `sequence` トークンに格納されます。	監査が問題なく動作しているときは、無効にしても構いません。 `cnt` ポリシーが有効になっている場合は、このオプションを有効にすることをお勧めします。`seq` ポリシーを使用すると、データがいつ破棄されたかを判定できます。また、`auditstat` コマンドを使用すると、破棄されたレコードを表示することもできます。
`trail`	無効にすると、`trailer` トークンが監査レコードに追加されません。有効にすると、`trailer` トークンがすべての監査レコードに追加されます。	無効にすると、作成される監査レコードが小さくなります。有効にすると、各監査レコードの最後に `trailer` トークンが常に付加されます。`trailer` トークンは多くの場合、`sequence` トークンとともに使用されます。`trailer` トークンは、破損した監査トレールの回復に役立ちます。
`zonename`	無効にすると、`zonename` トークンが監査レコードに含まれません。有効になっている場合、このポリシーでは、すべての監査レコード内に `zonename` トークンが含まれます。	無効になったオプションは、ゾーンごとに監査動作を追跡する必要がない場合に役立ちます。有効になったオプションは、ゾーンに応じてレコードを事後選択することによって、ゾーン間で監査動作を分離したり、比較したりする場合に役立ちます。