auditbin デーモン
目的
監査情報のビンを管理します。
構文
auditbin
説明
監査サブシステム内の auditbin デーモンは、監査イベント・データを交互に収集する一時ビン・ファイル bin1 および bin2 を管理します。 また、このコマンドは、データ・レコードのビンを処理のためにバックエンド・コマンドに配布します。
監査イベントが発生すると、オペレーティング・システム・カーネルは、ビン・ファイルにレコードを 1 つ書き込みます。 ビン・ファイルがいっぱいになると、auditbin デーモンは /etc/security/audit/bincmds ファイルを読み取り、そのファイル内に定義されているバックエンド・コマンドにビン・レコードを配布します。 /etc/security/audit/bincmds ファイルの各行には、パイプ結合したりリダイレクトしたりできる入出力を持つ 1 つ以上のコマンドが入っています。 auditbin デーモンは、各コマンドから $bin 文字列と $trail 文字列を検索し、これらの文字列を、現行ビン・ファイルおよびシステム証跡ファイルのパス名で置換します。
auditbin デーモンは、各コマンドが各ビンを最低一度は検出するようにしますが、ビンへのアクセスを同期させることはしません。 すべてのコマンドの実行が終わると、ビン・ファイルはさらに後続の監査レコードを収集できる状態になります。
コマンドのどれかが失敗すると、auditbin デーモンは、データ・レコードの配布を中止し、root ユーザーまたは監査グループのメンバーがコマンドを停止するまで、60 秒間隔で /dev/tty デバイスにメッセージを送ります。
セキュリティー
アクセス制御
このコマンドに対する実行 (x) アクセス権は、root ユーザーと監査グループのメンバーにのみ与えてください。 コマンドは、setuid で root ユーザーに設定され、トラステッド・コンピューティング・ベース属性を持っていなければなりません。
アクセスするファイル
| モード | ファイル |
|---|---|
| r | /etc/security/audit/config |
| r | /etc/security/audit/bincmds |
| rw | 定義済みの監査ビンと証跡ファイル |
| x | すべての監査ビン処理コマンド |
RBAC ユーザーと Trusted AIX® ユーザーへの注意: このコマンドは特権命令を実行できます。特権命令を実行できるのは特権ユーザーのみです。 権限および特権の詳細情報については、「セキュリティー」の『特権コマンド・データベース』を参照してください。このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。
例
- auditbin デーモンを構成するには、/etc/security/audit/config ファイルの始動スタンザとビン・スタンザを編集して、次の属性定義を組み込みます。
start: binmode = on bin: trail = /audit/trail bin1 = /audit/bin1 bin2 = /audit/bin2 binsize = 25000 cmds = /etc/security/audit/bincmds - 監査証跡を処理するコマンドを定義するには、
/etc/security/audit/bincmds ファイルを編集して、
次のような 1 つ以上のコマンド・ラインを組み込みます。
最初のコマンド・ラインは、圧縮された監査ビンを監査証跡ファイルに追加します。 2 番目の行は、各ビン・ファイルから USER_Login レコードを選択し、それらのレコードをフォーマットのために auditpr コマンドに渡し、/etc/log ファイルにそれらのレコードを追加します。/usr/sbin/auditcat -p -o $trail $bin /usr/sbin/auditselect -e "event == USER_Login" ¥ $bin | /usr/sbin/auditpr >> /etc/log - バーチャル I/O サーバー・システムなどの集中管理された場所で監査レコードを取得するために、auditbin デーモンの仮想ログを使用可能にするには、/etc/security/audit/config ファイルのビン・スタンザに次の属性を追加します。
bin: virtual_log = /dev/vlog0注: /dev/vlog0 デバイス・パスは例です。実デバイス名は、接続された VIOS システムでの仮想ログの構成方法に基づき、各クライアント論理区画 (LPAR) で異なる場合があります。
ファイル
| 項目 | 説明 |
|---|---|
| /usr/sbin/auditbin | auditbin デーモンへのパスを指定します。 |
| /audit/binx | ビン番号を示す x を付けて、デフォルトのビン・コレクション・ファイルへのパスを指定します。 |
| /etc/security/audit/config | 監査システム構成情報が入っています。 |
| /etc/security/audit/events | システムの監査イベントが入っています。 |
| /etc/security/audit/objects | 監査対象オブジェクト (ファイル) の監査イベントが入っています。 |
| /etc/security/audit/bincmds | auditbin バックエンド・コマンドが入っています。 |
| /etc/security/audit/streamcmds | auditstream コマンドが入っています。 |