監査サービスにはデフォルト構成があるため、Oracle Solaris をインストールした直後に、大域ゾーン上で動作可能になります。サービスを有効にしたり、使用可能になるように構成したりするために、追加のアクションは必要ありません。監査サービスのデフォルト構成を使用すると、次の操作が記録されます。
ログインおよびログアウトの操作
su コマンドの使用
画面ロックおよび画面ロック解除の操作
サービスのデフォルト構成はシステムのパフォーマンスに影響を与えないため、パフォーマンス上の理由でサービスを無効にする必要はありません。
適切な監査関連の権利 (Audit Review 権利プロファイルの権利など) を持っていれば、監査ログを確認できます。ログは /var/audit に格納されます。これらのファイルは、praudit および auditreduce コマンドを使用して表示します。詳細は、監査トレールデータの表示を参照してください。
この章の以降のセクションでは、デフォルト構成ではユーザーのニーズを満たすのに不十分である場合に、監査サービスの構成をカスタマイズする手順について説明します。
監査サービスは、次のパラメータによって規制されます。
ユーザーに起因するイベントおよびユーザーに起因しないイベントのクラス
監査ポリシー
監査プラグイン
キュー制御
監査サービスのデフォルトを表示するには、通常、auditconfig -get* サブコマンドを使用します。これらのサブコマンドは、アスタリスク (*) で表したパラメータ (–getflags、–getpolicy、–getqctrl など) の現在の構成を表示します。ユーザーに起因しないイベントのクラスに関する情報を表示するには、auditconfig -getnaflags サブコマンドを使用します。
auditconfig コマンドの詳細は、auditconfig(1M) のマニュアルページを参照してください。
次の例では、監査構成のデフォルト設定を表示するために使用する適切なコマンド構文を示します。
使用例 1 イベントのデフォルトクラスを表示するこの例では、ユーザーに起因するイベントおよびユーザーに起因しないイベントの事前選択されたクラスを表示するために、2 つのサブコマンドが使用されています。クラスにどのイベントが割り当てられているか、したがってどのイベントが記録されるかを表示するには、auditrecord -c class コマンドを実行します。
# auditconfig -getflags active user default audit flags = lo(0x1000,0x1000) configured user default audit flags = lo(0x1000,0x1000)
lo は、login/logout 監査クラスのフラグです。マスク出力の形式は (success,failure) です。
# auditconfig -getnaflags active non-attributable audit flags = lo(0x1000,0x1000) configured non-attributable audit flags = lo(0x1000,0x1000)使用例 2 デフォルトの監査ポリシーを表示する
$ auditconfig -getpolicy configured audit policies = cnt active audit policies = cnt
アクティブなポリシーは現在のポリシーですが、このポリシーの値は監査サービスによって格納されていません。構成されたポリシーは監査サービスによって格納されるため、このポリシーは監査サービスを再開したときに復元されます。
使用例 3 デフォルトの監査プラグインを表示する$ auditconfig -getplugin Plugin: audit_binfile Attributes: p_age=Oh;p_dir=/var/audit;p_fsize=4M;p_minfree=1; Plugin: audit_syslog (inactive) Attributes: p_flags=; Plugin: audit_remote (inactive) Attributes: p_hosts=;p_retries=3;p_timeout=5;
デフォルトでは、audit_binfile プラグインがアクティブです。
使用例 4 監査キュー制御を表示する$ auditconfig -getqctrl no configured audit queue hiwater mark no configured audit queue lowater mark no configured audit queue buffer size no configured audit queue delay active audit queue hiwater mark (records) = 100 active audit queue lowater mark (records) = 10 active audit queue buffer size (bytes) = 8192 active audit queue delay (ticks) = 20
アクティブなキュー制御は、カーネルによって現在使用されているキュー制御です。no configured の文字列は、システムがデフォルト値を使用していることを示します。
監査サービスは、デフォルトで有効になっています。perzone 監査ポリシーが設定されている場合、ゾーン管理者は必要に応じて、各非大域ゾーン内の監査サービスを有効にしたり、リフレッシュしたり、無効にしたりする必要があります。perzone 監査ポリシーが設定されていない場合は、大域ゾーンからすべての非大域ゾーンの監査サービスを有効にしたり、リフレッシュしたり、無効にしたりすると効率的です。
監査サービスを無効または有効にするには、Audit Control 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
監査サービスを無効にするには、次のコマンドを使用します。
# audit -t
監査サービスを有効にするには、次のコマンドを使用します。
# audit -s
監査サービスが動作していることを確認するには、次のコマンドを使用します。
# auditconfig -getcond audit condition = auditing
perzone 監査ポリシーが設定されている場合は、監査を有効にした非大域ゾーンで、この確認を実行する必要があります。
詳細は、audit(1M) と auditd(1M) のマニュアルページを参照してください。