Go to main content
Oracle® Solaris 11.3 での監査の管理

印刷ビューの終了

更新: 2016 年 11 月
 
 

監査ポリシー

監査ポリシーには、監査トレールにトークンまたは情報を追加するかどうかを指定します。

argeargvgrouppathseqtrailwindata_downwindata_up、および zonename ポリシーは、監査レコードにトークンを追加します。windata_down および windata_up ポリシーは、Oracle Solaris の Trusted Extensions 機能によって使用されます。詳細は、Trusted Extensions 構成と管理 の 第 22 章, Trusted Extensions と監査を参照してください。

その他のポリシーでは、トークンは追加されません。public ポリシーによって、公開ファイルの監査が制限されます。perzone ポリシーによって、非大域ゾーンのための個別の監査キューが確立されます。ahlt および cnt ポリシーによって、監査レコードを配信できないときの動作が決定されます。詳細は、非同期イベントおよび同期イベントの監査ポリシーを参照してください。

各種の監査ポリシーオプションの効果は、監査ポリシーについてで説明されています。監査ポリシーオプションについては、auditconfig(1M) のマニュアルページの –setpolicy オプションを参照してください。使用可能なポリシーオプションの一覧を表示するには、コマンド auditconfig -lspolicy を実行します。現在のポリシーを表示するには、コマンド auditconfig -getpolicy を実行します。

非同期イベントおよび同期イベントの監査ポリシー

ahlt ポリシーおよび cnt ポリシーは、監査キューがいっぱいで追加のイベントを受け入れられない場合の動作を管理します。

注 -  –cnt または –ahlt ポリシーは、少なくとも 1 つのプラグインのキューが監査レコードを受け入れることができる場合はトリガーされません。

    –cnt ポリシーと –ahlt ポリシーは独立していますが、関連性があります。ポリシーの組み合わせには、それぞれ次のような効果があります。

  • -ahlt +cnt は、出荷時のデフォルトのポリシーです。このデフォルトのポリシーでは、イベントが記録できない場合でも、監査対象イベントを処理できます。

    -ahlt ポリシーでは、非同期イベントの監査レコードがカーネル監査キューに配置できない場合、システムがイベントをカウントして処理を続行します。

    +cnt ポリシーでは、同期イベントがカーネル監査キューに到達しても配置できない場合、システムがイベントをカウントして処理を続行します。

    -ahlt +cnt の構成は通常、処理の続行により監査レコードが失われる可能性があっても処理を続行する必要のある場合に使用します。auditstatdrop フィールドは、ゾーンで破棄された監査レコードの数を示します。

  • +ahlt -cnt ポリシーでは、非同期イベントをカーネル監査キューに追加できない場合、処理が停止します。

    +ahlt ポリシーでは、非同期イベントの監査レコードがカーネル監査キューに配置できない場合、すべての処理が停止されます。システムはパニック状態になります。非同期イベントは、監査キューには入らず、呼び出しスタックのポインタから復元する必要があります。

    -cnt ポリシーでは、同期イベントがカーネル監査キューに配置できない場合、イベントを配信しようとするスレッドがブロックされます。スレッドは、監査領域が使用可能になるまでスリープキューに配置されます。カウントは保持されません。プログラムは、監査領域が使用可能になるまでハングアップしたように見えることがあります。

    +ahlt -cnt の構成は通常、システムの可用性より監査イベントの記録を優先する場合に使用します。auditstat wblk フィールドは、スレッドがブロックされた回数を示します。

    ただし、非同期イベントが発生した場合、システムがパニック状態になり停止します。監査イベントのカーネルキューは、保存したクラッシュダンプから手動で復元できます。非同期イベントは、監査キューには入らず、呼び出しスタックのポインタから復元する必要があります。

  • -ahlt -cnt ポリシーでは、非同期イベントがカーネル監査キューに配置できない場合、イベントがカウントされ処理が続行します。同期イベントがカーネル監査キューに配置できない場合、イベントを配信しようとするスレッドがブロックされます。スレッドは、監査領域が使用可能になるまでスリープキューに配置されます。カウントは保持されません。プログラムは、監査領域が使用可能になるまでハングアップしたように見えることがあります。

    -ahlt -cnt の構成は通常、非同期監査レコードが失われる可能性より、すべての同期監査イベントの記録を優先する場合に使用します。auditstat wblk フィールドは、スレッドがブロックされた回数を示します。

  • +ahlt +cnt ポリシーでは、非同期イベントがカーネル監査キューに配置できない場合、システムがパニック状態になります。同期イベントがカーネル監査キューに配置できない場合、システムがイベントをカウントして処理を続行します。

Copyright © 2002, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ