audit コマンド
目的
システム監査を制御します。
構文
audit { on [ panic | fullpath] | off | query | start | shutdown }{-@ wparname ...}
説明
audit コマンドは、いくつかのキーワードを使用してシステム監査を制御します。コマンドを入力するたびにキーワードを 1 個含める必要があります。start キーワードと shutdown キーワードは、監査システムを始動および停止し、システム構成をリセットします。 off キーワードと on キーワードは、システム構成に影響を与えずに、監査システムを中断し再始動します。 query キーワードを使うと、現在の状況を照会できます。
監査システムは、次の構成ファイル内で設定された命令に従います。
- /etc/security/audit/config
- /etc/security/audit/events
- /etc/security/audit/objects
- /etc/security/audit/bincmds
- /etc/security/audit/streamcmds
WPAR で実行する場合、-@ オプションはサポートされません。
キーワード
| 項目 | 説明 |
|---|---|
| start | 監査サブシステムを始動します。このキーワードは構成ファイル内の命令を読み取って、以下のタスクを実行します。
|
| shutdown | 監査レコードの収集を終了し、カーネル・テーブルからクラスの定義を除去することによって構成情報をリセットします。 すべての監査レコードが、バックエンド・コマンドに関する指定に従って、カーネル・バッファーからビン・ファイルまたは監査ストリームにフラッシュされます。これらのバックエンド・コマンドは、ビン・モード監査の場合は /etc/security/audit/bincmds ファイルに入っており、ストリーム・モード監査の場合は /etc/security/audit/streamcmds ファイルに入っています。 監査データの収集は、次回 audit start コマンドが実行されるまで停止されます。このキーワードとともに -@ wparname パラメーターを使用すると、指定された WPAR の監査が使用不可になります。 |
| off | 監査システムを中断しますが、構成は引き続き有効です。 データ収集は、audit on コマンドが実行されるまで休止されます。-@ オプションは、このキーワードではサポートされません。 |
| on [panic | fullpath] | システムが正しく構成されていれば (例えば、最初に audit start コマンドが使用され、構成がまだ有効である場合など)、中断後に監査システムを再始動します。
コマンドを実行したときにすでに監査が開始されている場合は、bin データ収集のみを変更できます。
-@ オプションは、このキーワードではサポートされません。 panic オプションを指定した場合は、bin データ収集が使用可能になっていても bin ファイルに書き込めないと、システムが突然停止します。WPAR で実行した場合、panic オプションはサポートされません。 fullpath オプションを指定した場合、FILE_Open、FILE_Read、および FILE_Write 監査イベントはファイルの絶対パス名を取り込みます。 |
| query | 監査サブシステムの監査状況を照会します。-@ オプションを指定すると、このキーワードはグローバルに開始された WPAR の監査状況を照会します。このキーワードは、次のフォーマットで監査サブシステムの現在の状況を表示します。
|
セキュリティー
アクセス制御
このコマンドに対する実行 (x) アクセス権は、root ユーザーと監査グループのメンバーにのみ与えてください。 コマンドは、setuid で root ユーザーに設定され、trusted computing base 属性を持っていなければなりません。
アクセスするファイル
| モード | ファイル |
|---|---|
| r | /etc/security/audit/config |
| r | /etc/security/audit/objects |
| x | /usr/sbin/auditbin |
| x | /usr/sbin/auditstream |
RBAC ユーザーと Trusted AIX ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。
例
- 監査プロセスを始動するには、「セキュリティー」の『監査の設定』のセクションの説明に従って監査システムを構成し、システム初期化ファイル (グローバル環境では /etc/rc、WPAR では /etc/rc.bootc) に次の行を追加します。
システムを初期化するたびに、監査プロセスが構成どおりに始動します。/usr/sbin/audit start 1>&- 2>&- - wpar1 という名前の WPAR の監査プロセスをグローバル WPAR から開始するには、以下のコマンドを入力します。
/usr/sbin/audit start -@ wpar1 - 監査プロセスの操作を終了するには、以下のコマンドを入力します。
再び audit start コマンドを指定するまで、データ収集は停止したままになります。 オペレーティング・システム・カーネル内のクラスの構成は失われます。/usr/sbin/audit shutdown注: audit shutdown コマンドも、/etc/shutdown ファイル内になければなりません。 - wpar1 という名前の WPAR の監査プロセスをグローバル WPAR から終了するには、以下のコマンドを入力します。
もう一度 audit start -@ wpar1 コマンドを指定するまで、データ収集は停止します。 オペレーティング・システム・カーネル内のクラスの構成は失われます。/usr/sbin/audit shutdown -@ wpar1注意: audit shutdown コマンドをオプションを指定せずに実行すると、グローバル WPAR から開始されたすべての WPAR の監査プロセスがシャットダウンされます。
- 監査サブシステムを中断するには、以下のコマンドを入力します。
/usr/sbin/audit off - audit off コマンドによって中断された監査プロセスを再開するには、以下のコマンドを実行します。
システムが正しく構成されていれば、中断状態が終わり、再び監査レコードが生成されます。/usr/sbin/audit on - 監査システムの現在の状況を表示するには、以下のコマンドを入力します。
以下は、audit query 状況メッセージの例です。/usr/sbin/audit query
この照会は、指定されたユーザーがログインまたはログアウトしたとき、指定された管理者がユーザーまたはグループを作成したとき、およびシステムが /etc/security/passwd ファイルに対する許可された読み取りまたは書き込み命令を受信したときに監査レコードが書き込まれたことをユーザーに通知します。auditing on bin manager is process number 123 audit events: authentication- USER_Login, USER_Logout administration- USER_Create, GROUP_Create audit objects: /etc/security/passwd : r = AUTH_Read /etc/security/passwd : w = AUTH_Write
ファイル
| 項目 | 説明 |
|---|---|
| /etc/security/audit/bincmds | 監査ビン・データを処理するためのシェル・コマンドが入っています。 |
| /etc/security/audit/config | 監査構成情報が入っています。 |
| /etc/security/audit/events | 監査イベントとそれぞれの証跡フォーマット仕様のリストが入っています。 |
| /etc/security/audit/objects | 各ファイル (オブジェクト) の監査イベントのリストが入っています。 |
| /etc/security/audit/streamcmds | auditstream コマンドが入っています。 |
| /etc/rc | システム初期化コマンドが入っています。 |
| /usr/sbin/audit | audit コマンドのパスが入っています。 |