audit_warn - 監査サービス警告スクリプト
/etc/security/audit_warn option [arguments]
audit_warn スクリプトは、監査サービスからの警告およびエラーメッセージを処理します。起動、構成、処理、停止時などに問題が発生した場合、監査サービスは適切な引数とともに audit_warn を呼び出します。option 引数は問題のタイプを指定します。
システム管理者は、aliases(5) で audit_warn というメールエイリアスを定義することにより、audit_warn 状況が発生した場合に通知されるメール受信者のリストを指定できます。audit_warn エイリアスを作成するユーザーは通常、audit ユーザーと root ユーザーです。
デフォルトのアクションは、audit_warn エイリアスにメールを送信し、daemon.alert 優先度の syslog にメールメッセージを送信することです。
システム管理者は、サイトの特定のニーズに応じて audit_warn スクリプトをカスタマイズできます。リリースでの変更を解決するために新しいリリースにアップデートする際には、注意を払うようにしてください。
サポートしているオプションは、次のとおりです。
すべての audit_binfile(7) ディレクトリファイルシステムのハード制限が count 回超過されたことを示します。メールスプールディレクトリがいっぱいにならないように、カウントが 1 の場合だけメールが送信されます。
すべての audit_binfile(7) ディレクトリファイルシステムのソフト制限が超過されたことを示します。
監査リモートサーバーでエラーが発生したことを示します。
監査サービスの実行中にカーネル監査サブシステムで障害が発生したことを示します。この場合、監査サービスは終了します。
監査サービスが構成エラーを検出したことを示します。
audit_binfile(7) ディレクトリファイルシステムのハード制限が超過されたことを示します。
監査サービスがローカルホスト名に関連付ける IP アドレスを見つけられなかったことを示します。代わりに「ループバック」アドレスが使用されました。監査トレール変換ツールがホスト名を正しく変換できない可能性があります。監査サービスをリフレッシュ (audit –s) することで、IP アドレスの検索を再試行できます。
監査サブシステムシステムコールから障害が報告されているために監査を開始できなかったことを示します。
監査サービスプラグイン name の実行中にエラーが発生したことを示します。メールスプールディレクトリがいっぱいにならないように、カウントが 1 の場合だけメールが送信されます。エラータイプごとに異なるカウントが保持されます。text フィールドは、プラグインから渡された詳細なエラーメッセージを提供します。error フィールドは次のいずれかの文字列になります。
プラグイン name を読み込めません。
リソース不足などのシステムエラーのため、プラグイン name が実行されていません。
構成エラーのため、プラグイン (バイナリファイルプラグイン audit_binfile(7) も含む) がロードされていません (auditconfig(8) コマンドの –setplugin オプションを参照)。名前文字列は -- で、該当するプラグイン名がないことを示しています。
プラグイン name から、一時的な障害が発生したことが報告されています。たとえば、audit_binfree.so プラグインは、retry を使ってすべてのディレクトリがいっぱいであることを示します。
プラグイン name から、メモリー不足による障害が報告されています。
プラグイン name から、無効な入力を受け取ったことが報告されています。
プラグイン name から、text で説明されているエラーが報告されました。
audit_binfile(7) ディレクトリファイルシステムのソフト制限が超過されたことを示します。
追加情報。
属性についての詳細は、マニュアルページの attributes(7) を参照してください。
|
コマンドは「確実」です。スクリプトの内容は「不確実」です。/var/audit/debug の存在や内容は「非インタフェース」です。syslog とメール出力は「非インタフェース」です。
logger(1)、mailx(1)、aliases(5)、audit.log(5)、syslog.conf(5)、attributes(7)、audit_binfile(7)、audit(8)、auditconfig(8)、auditd(8)
この機能を使用できるのは、監査サービスが有効になっている場合だけです。
ハード制限とソフト制限は、audit_binfile(7) と監査リモートサーバーディレクトリのリスト、および構成された空き容量を処理します。現在アクティブなディレクトリが構成された空き容量を超えると、「ソフト」制限に達し、リスト内の次のディレクトリが試されます。現在アクティブなディレクトリの容量が使い果たされた場合は、「ハード」制限に達し、リスト内の次のディレクトリが試されます。
See the pkg(7) man page for guidance on resolving changes across release updates.
perzone 監査ポリシーが設定されている場合、または perzone が設定されておらず、監査リモートサーバーが有効な場合、ローカルゾーンの /etc/security/audit_warn スクリプトが、ローカルゾーンの監査サービスのインスタンスからの通知に使用されます。perzone ポリシーが設定されておらず、かつ監査リモートサーバーがローカルゾーンで有効になっていない場合、すべての監査サービスエラーはグローバルゾーンの /etc/security/audit_warn のコピーにより生成されます。