auditrecord - Oracle Solaris 監査レコード形式の表示
/usr/sbin/auditrecord [-d] [ [-a] | [-e string] | [-c class] |
[-i id] | [-p programname] | [-s systemcall] | [-h]]
auditrecord ユーティリティーは、audit_event(5) で定義された監査レコードイベントタイプのイベント ID、監査クラスと選択マスク、およびレコード形式を表示します。auditrecord を使用すれば、すべての監査レコード形式の一覧を生成したり、イベントクラス、イベント名、生成元プログラム名、システムコール名、またはイベント ID に基づいて監査レコード形式を選択したりできます。
出力形式は 2 つあります。デフォルト形式は端末ウィンドウで表示するためのもので、オプションの HTML 形式は Web ブラウザで表示するためのものです。
角括弧 ( [ ] ) で囲まれたトークンはオプションで、すべてのレコードに存在するわけではありません。
サポートしているオプションは、次のとおりです。
すべての監査レコードを一覧表示します。
クラス class の一覧で選択されたすべての監査レコードを一覧表示します。有効なクラスは、audit_class ファイルで見つかります。詳細は、audit_class(5) のマニュアルページを参照してください。
デバッグモード。audit_event に定義されている監査レコードの数、audit_class に定義されているクラスの数、および 2 つのファイルの間の不一致を表示し、auditrecord で使用可能な形式情報がどの定義済みイベントに含まれていないかを報告します。
イベント ID ラベルに文字列 string が含まれているすべての監査レコードを一覧表示します。照合では大文字と小文字は区別されません。
HTML 形式で出力を生成します。
数値イベント ID id を持つ監査レコードを一覧表示します。
プログラム programname によって生成されるすべての監査レコード (ユーザー領域プログラムによって生成される監査レコードなど) を一覧表示します。
システムコール systemcall によって生成されるすべての監査レコード (システムコールによって生成される監査レコードなど) を一覧表示します。
–p オプションと –s オプションは同じものの異なる名前で、相互排他的です。–c、–e、–i、–p、–s のいずれかを指定すると、–a オプションは無視されます。–c、–e、–i、および –p または –s の組み合わせは、AND でつながれます。
次の例では、指定された監査レコードの内容を表示する方法を示します。
% auditrecord -i 6152
terminal login
program /usr/sbin/login see login(1)
/usr/sbin/gdm See dtlogin
event ID 6152 AUE_login
class lo (0x00001000)
header
subject
[text] error message
return
使用例 2 指定された文字列が含まれるイベント ID ラベルを持つ監査レコードを表示する
次の例では、文字列 login が含まれるイベント ID ラベルを持つ監査レコードの内容を表示する方法を示します。
# auditrecord -e login
terminal login
program /usr/sbin/login see login(1)
/usr/sbin/gdm See dtlogin
event ID 6152 AUE_login
class lo (0x00001000)
header
subject
[text] error message
return
rlogin
program /usr/sbin/login see login(1) - rlogin
event ID 6155 AUE_rlogin
class lo (0x00001000)
header
subject
[text] error message
return
処理成功
エラー
有効なクラスと関連する監査マスクのリストを提供します。
数値イベント ID、リテラルイベント名、および関連するシステムコールまたはプログラムの名前を提供します。
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
audit.log(5)、audit_class(5)、audit_event(5)、attributes(7)、auditconfig(8)、praudit(8)
Managing Auditing in Oracle Solaris 11.4
入力ファイルのいずれかを読み取れないか出力ファイルを書き込めない場合、auditrecord は失敗したファイルの名前を表示し、ゼロ以外の値を返して終了します。
オプションが 1 つも指定されなかった場合、無効なオプションが指定された場合、または –s と –p の両方が指定された場合は、エラーメッセージが表示され、auditrecord は使用法メッセージを表示してからゼロ以外の値を返して終了します。
このコマンドは以前は bsmrecord として知られていました。
ユーザー定義監査イベントを追加するために /etc/security/audit_event が変更されていた場合、auditrecord はレコード形式を undefined として表示します。
auditrecord で表示される監査レコードは、生成可能なレコードのコアです。次に示すようなさまざまな監査ポリシーやオプショントークンも存在している可能性があります。
praudit(8) トークン名とその説明の一覧を示します。
監査レコード annotation が存在する場合に存在します。
group 監査ポリシーが設定されている場合に存在します。
Trusted Extensions が有効になっている場合に存在し、関連付けられたサブジェクトまたはオブジェクトのラベルを表します。ラベルが明示的にレコードの一部である基本監査レコードでは、mandatory_label トークンが見られます。
seq 監査ポリシーが設定されている場合に存在します。
trail 監査ポリシーが設定されている場合に存在します。
レコードを生成するゾーンの名前 (zonename 監査ポリシーが設定されている場合)。ゾーン名が明示的にレコードの一部である基本監査レコードでは、zonename トークンが見られます。