Go to main content
Oracle® Solaris 11.3 での監査の管理

印刷ビューの終了

更新: 2016 年 11 月
 
 

監査レコードの構造

監査レコードは、一連の監査トークンです。監査トークンには、ユーザー ID、時間、日付などのイベント情報が入っています。監査レコードは、header トークンで始まり、オプションの trailer トークンで終わります。ほかの監査トークンには、監査イベントに関連する情報が入っています。次の図は、標準的なカーネル監査レコードと標準的なユーザーレベルの監査レコードを示しています。

図 3  標準的な監査レコードの構造

image:この図は、2 つの標準的な監査レコードの構造を示しています。カーネルレコードでは、サブジェクトのトークンの前にデータのトークンが含まれています。

監査レコード分析

監査レコードの分析には、監査トレールからのレコードの事後選択が必要です。次の 2 つの方法のうちのいずれかを使用して、収集されたバイナリデータを解析できます。

  • praudit コマンドを使用します。コマンドのオプションにより、さまざまなテキスト出力が提供されます。たとえば、praudit コマンドを使用すると、スクリプトとブラウザへの入力のための XML が得られます。praudit 出力には、バイナリデータの解析に役立つことだけが目的のフィールドは含まれません。praudit 出力の順序や形式は Oracle Solaris リリース間では保証されません。

    praudit 出力の例については、バイナリ監査ファイルの内容の表示を参照してください。

    監査トークンごとの praudit 出力の例については、監査トークンの形式にある個々のトークンを参照してください。

  • バイナリデータのストリームを解析するためのプログラムを作成できます。このプログラムは、監査レコードの変種を考慮に入れる必要があります。たとえば、ioctl() システムコールは、「不正なファイル名」に対する監査レコードを作成します。このレコードには、「無効なファイル記述子」に対する ioctl() 監査レコードとは異なるトークンが含まれています。

    • 各監査トークン内のバイナリデータの順番については、audit.log(4) のマニュアルページを参照してください。

    • 目録の値については、/usr/include/bsm/audit.h ファイルを参照してください。

    • 監査レコード内のトークンの順序を表示するには、auditrecord コマンドを使用します。auditrecord コマンドの出力には、目録の値ごとに異なるトークンが含まれています。角括弧 ([]) は、監査トークンがオプションであることを表しています。詳細は、auditrecord(1M) のマニュアルページを参照してください。

Copyright © 2002, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ