イベント・ファイル
目的
システム監査イベントに関する情報が含まれます。
説明
/etc/security/audit/events ファイルは、監査イベントに関する情報が入っている ASCII スタンザ・ファイルです。 このファイルには、システム内のすべての監査イベントをリストするスタンザ 監査者が 1 つだけ含まれています。 このスタンザには、各イベントの監査テールを書き込むために 監査者 コマンドが必要とするフォーマット情報も含まれています。
スタンザ内の各属性は、以下の形式の監査イベントの名前です。
AuditEvent = FormatCommand
root ユーザーは、 6 エディターを使用してイベント・ファイルを編集できます。 イベント・ファイル内のコメントは、アスタリスク記号 (*) で始まります。
フォーマット・コマンドには、以下のパラメーターを指定できます。
| パラメーター | 説明 |
|---|---|
| (空) | イベントにテールがありません。 |
| printf フォーマット | テールは、 フォーマット パラメーターに指定されたストリングに従ってフォーマット設定されます。 ストリング内の %x 記号は、監査証跡がデータを提供する場所を示します。 |
| プログラム -i n 引数... | テールは、 プログラム パラメーターで指定されたプログラムによってフォーマット設定されます。 I N パラメーターは、出力が N スペースによって字下げされることを示す最初のパラメーターとしてプログラムに渡されます。 その他のフォーマット情報は、 引数 パラメーターを使用して指定できます。 監査イベント名は、最後のパラメーターとして渡されます。 テールは、プログラムの標準入力に書き込まれます。 |
監査イベントのフォーマット情報
| Format | 説明 |
|---|---|
| %A | フォーマット設定された出力は、 ACL コマンドに似ています。 |
| %c | 1 バイトを文字としてフォーマットします。 |
| %D | デバイスのメジャー番号とマイナー番号としてフォーマット設定されます。 |
| %d | 32 ビットの符号付き 10 進整数としてフォーマット設定されます。 |
| %G | グループ名または数値 ID のコンマ区切りリストとしてフォーマットされます。 |
| %L | インターネット・ソケットとソケット自体に関連付けられた ID を記述するテキスト・ストリングとしてフォーマット設定されます。 |
| %LD | 64 ビット符号付き 10 進整数としてフォーマット設定されます。 |
| %LO | 64 ビットの 8 進値としてフォーマット設定されます。 |
| %lx | 64 ビット 16 進値としてフォーマットされた %lx。 |
| %lX | 大文字の 64 ビット 16 進値としてフォーマットされます。 |
| %o | 32 ビットの 8 進整数としてフォーマットされます。 |
| %P | フォーマット設定された出力は、 PCLGET コマンドに似ています。 |
| %S | インターネット・ソケットを記述するテキスト・ストリングとしてフォーマットされます。 |
| %s | テキスト・ストリングとしてフォーマット設定されます。 |
| %T | 秒を表す 6 桁の有効数字を持つ組み込み日時を示すテキスト・ストリングとしてフォーマット設定されます。DD Mmm YYYY HH:MM:SS:mmmuuu). |
| %u | 32 ビットの符号なし整数としてフォーマットされます。 |
| %x | 32 ビット 16 進整数としてフォーマットされます。 |
| %X | 大文字の 32 ビット 16 進整数としてフォーマットされます。 |
| %% | 単一の「%' cHaracter」。 |
セキュリティー
アクセス制御: このファイルは、root ユーザーと監査グループのメンバーに読み取り (r) アクセス権限を付与し、root ユーザーにのみ書き込み (w) アクセス権限を付与する必要があります。
例
新規監査イベントの監査レコードの末尾をフォーマットするには、以下のようにします。FILE_OpenおよびPROC_Create/etc/security/audit/events ファイル内の auditpr スタンザに、次のようなフォーマット指定を追加します。
auditpr:
FILE_Open = printf "flags: %d mode: %o \
fd: %d filename: %s"
PROC_Create = printf "forked child process %d"
ファイル
| 項目 | 説明 |
|---|---|
| /etc/security/audit/events | ファイルへのパスを指定します。 |
| /etc/security/audit/config | 監査システム構成情報が入っています。 |
| /etc/security/audit/objects | 監査対象オブジェクトに関する情報が含まれます。 |
| /etc/security/audit/bincmds | auditbin バックエンド・コマンドが入っています。 |
| /etc/security/audit/streamcmds | auditstream コマンドが入っています。 |