OSファイル・モニタリング
Linux v5では、モニタリングを行う方法は2つあります。次に示すモニター対象アクションの中には、一方の方法でのみモニターできるものがあります。2つの方法は、ロード可能なカーネル・モジュールを使用することです。この方法によってのみ検出可能なアクションは、"(KO)"という注釈で示します。別のオプションはロード可能なカーネル・モジュールを使用しないことで、Linuxに組み込まれている監査方法を使用することになります。この方法でのみモニター可能なアクションは、"(非KO)"という注釈で示します。チェックマーク以外の注釈のないアクションは、いずれの方法でもモニターできます。
ノート:
リモート・ファイル・システムのモニタリングは、Unixベースのプラットフォームではサポートされていません。同様に、リモート・ファイル・システムのモニタリングは、Windowsプラットフォームでもサポートされていません。
Microsoft Windowsオペレーティング・システムのごみ箱からファイルをリストアする場合、この機能はオペレーティング・システムからは使用できないため、変更を加えたユーザーを特定することはできません。
Linuxオペレーティング・システムで、Oracleカーネル監査モジュール・メソッドではなく監査されたモニタリング・メソッドを使用している場合、ディレクトリ作成操作はファイル作成操作としてレポートされます。さらに、ファイル作成アクティビティは、作成ではなくファイル変更としてレポートされます。これらは、モニタリングで監査されたメソッドを使用する際の制限事項です。LinuxでのOSファイル・モニタリングにOracleカーネル監査モジュールの手法を使用する場合、これらの制限事項は適用されません。
Xは、リストされているアクションがサポートされていることを表し、NSは、サポートされていない(Not Supported)ことを表します。
表4-7 OSファイルのモニタリング
| モニターするアクション | Linux | Windows | Solarisの場合: | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| V4 | V5 | V6 | XP | 2003 Server | 2008 Server (R1およびR2) | V9 | V10 | V11 | |||||||||
| X86 32ビット | X86 32ビット | X86 64ビット | X86 32ビット | X86 64ビット | X86 32ビット | X86 64ビット | X86 32ビット | X86 64ビット | X86 32ビット | X86 64ビット | X86 64ビット | Sparc | X86 64ビット | Sparc | X86 64ビット | Sparc | |
|
ファイルの読込み(成功) |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
ファイル削除(成功) |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
ファイルの名前変更(成功) |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
ファイル作成(成功) |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
ファイル・コンテンツの変更(成功) |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
コンテンツ変更なしのファイル変更 |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
ファイル変更(失敗) |
NS |
X (非KO) |
NS |
X (非KO) |
X |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
|
ファイル権限の変更(成功) |
NS |
X (非KO) |
X (非KO) |
X (KO) |
X |
NS |
NS |
NS |
NS |
NS |
NS |
X |
X |
X |
X |
X |
X |
|
ファイル所有権の変更(成功) |
NS |
X (非KO) |
X (非KO) |
X (KO) |
X |
NS |
NS |
NS |
NS |
NS |
NS |
X |
X |
X |
X |
X |
X |
|
ファイル・コンテンツの変更(成功)アーカイブ・ファイル |
NS |
X (非KO) |
X (非KO) |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
X |
|
ファイルの読込み(失敗) |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
X |
X |
X |
X |
X |
X |
|
ファイル削除(失敗) |
NS |
X (非KO) |
X (非KO) |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
NS |
X |
X |
X |
X |
X |
X |
|
ファイルの名前変更(失敗) |
NS |
X (非KO) |
X (非KO) |
X (非KO) |
X (非KO) |
NS |
NS |
NS |
NS |
NS |
NS |
X |
X |
X |
X |
X |
X |
|
ファイル作成(失敗) |
NS |
X (非KO) |
X (非KO) |
X (非KO) |
X (非KO) |
NS |
NS |
NS |
NS |
NS |
NS |
X |
X |
X |
X |
X |
X |
|
ファイル権限の変更(失敗) |
NS |
X |
X |
X |
X |
NS |
NS |
NS |
NS |
NS |
NS |
X |
X |
X |
X |
X |
X |
|
ファイル所有権の変更(失敗) |
NS |
X |
X |
X |
X |
NS |
NS |
NS |
NS |
NS |
NS |
X |
X |
X |
X |
X |
X |
表4-8 OSファイルのモニタリング(続き)
| モニターするアクション | SUSE Linux | AIX | |||
|---|---|---|---|---|---|
| V10 | V11 | V5.3 | V6.1 | ||
| X86 32ビット | X86 32ビット | X86 64ビット | POWER | POWER | |
|
ファイルの読込み(成功) |
X |
X (KO) |
X (KO) |
X |
X |
|
ファイル削除(成功) |
X |
X (KO) |
X (KO) |
X |
X |
|
ファイルの名前変更(成功) |
X |
X |
X |
X |
X |
|
ファイル作成(成功) |
X |
X |
X |
X |
X |
|
ファイル・コンテンツの変更(成功) |
X |
X |
X |
X |
X |
|
コンテンツ変更なしのファイル変更(成功) |
X |
X |
X |
X |
X |
|
ファイル変更(失敗) |
NS |
NS |
NS |
X |
X |
|
ファイル権限の変更(成功) |
X |
X (KO) |
X |
X |
X |
|
ファイル所有権の変更(成功) |
X |
X (KO) |
X |
X |
X |
|
ファイル・コンテンツの変更(成功)アーカイブ・ファイル |
X |
X |
X |
X |
X |
|
ファイルの読込み(失敗) |
NS |
NS |
NS |
X |
X |
|
ファイル削除(失敗) |
NS |
NS |
NS |
X |
X |
|
ファイルの名前変更(失敗) |
NS |
X (非KO) |
X (非KO) |
X |
X |
|
ファイル作成(失敗) |
NS |
NS |
X (非KO) |
X |
X |
|
ファイル権限の変更(失敗) |
NS |
X (非KO) |
X (非KO) |
X |
X |
|
ファイル所有権の変更(失敗) |
NS |
X (非KO) |
X (非KO) |
X |
X |