監査サブシステム

監査サブシステムには、検出、収集、および処理の各機能があります。

システム管理者は、これらの機能をそれぞれ構成できます。

監査イベント検出

イベント検出は、 カーネル (監視プログラム状態コード) とトラステッド・プログラム (ユーザー状態コード) のどちらの場合も、 トラステッド・コンピューティング・ベース (TCB) 全体に分散されています。 監査可能イベントとは、システムで発生する一切のセキュリティー関連のイベントです。 セキュリティー関連の発生イベントとは、システムのセキュリティー状態の変化、 システム・アクセス制御ポリシーまたはアカウンタビリティー・セキュリティー・ポリシーの違反の試みや実際の違反、 あるいはその両方です。 監査可能イベントを検出したプログラムおよびカーネル・モジュールは、 そのイベントをシステム監査ロガーに報告する責任があります。 なお、このロガーはカーネルの一部として実行され、 サブルーチン (トラステッド・プログラムの監査の場合) でアクセスすることも、 カーネル・プロシージャー・コール (監視プログラム状態の監査の場合) 内でアクセスすることもできます。 報告される情報には、監査可能イベントの名前、そのイベントの成功または失敗、 セキュリティー監査に関係する追加のイベント固有の情報があれば、 その情報が含まれています。

イベント検出構成は、イベント検出をオンまたはオフにすることと、 どのイベントがどのユーザーに対して監査されるかを指定することから成っています。 イベント検出を活動化する場合は、audit コマンドを使用して監査サブシステムを使用可能または使用禁止にします。 /etc/security/audit/config ファイルには、 監査サブシステムが処理するイベントおよびユーザーが入っています。

イベント情報の収集

情報収集には、選択された監査可能イベントをロギングすることが含まれます。 この機能はカーネル監査ロガーによって実行され、このロガーには、 システム・コールおよび監査可能イベントを記録するカーネル内プロシージャー・コール・インターフェースが用意されています。

監査ロガーは、完全な監査レコードを作る責任があります。このレコードは、 すべてのイベントに共通する情報 (イベントの名前、責任のあるユーザー、 イベントの時間と戻り状況など) を収めている監査ヘッダー、 およびイベントに固有の情報を収めている監査証跡からなっています。 監査ロガーはカーネル監査証跡に各連続レコードを追加し、 これは次の 2 モードのどちらでも (または両方) 書き出すことができます。

BIN モード
監査証跡は交互のファイルに書き込まれるので、安全性が得られ、 長期に保管しておくことができます。
STREAM モード
監査証跡は循環バッファーに書き込まれ、 これは監査疑似デバイスから同期的に読み取られます。 STREAM モードによると、即時の応答が得られます。

情報収集はフロントエンド (イベント記録) でも、 バックエンド (証跡処理) でも構成することができます。 イベント記録はユーザー単位で選択できます。 各ユーザーは定義された監査イベントのセットを持ち、 これらのイベントはその発生時に監査証跡に記録されるものです。 バックエンドでは、これらのモードは個別に構成可能であるので、 管理者は特定の環境に最も適したバックエンド処理を採用することができます。 さらに、BIN モード監査は、証跡に使用可能なファイルシステム・スペースが少なくなりすぎた場合に、 アラートを生成するように構成できます。

監査証跡情報の処理

オペレーティング・システムには、 カーネル監査証跡を処理するためのオプションがいくつか用意されています。 BIN モード証跡は、監査証跡があるときにそれをストレージに保存する前に、 出力用に圧縮するか、フィルターにかけるか、 あるいはフォーマットするか、あるいはこれらを任意に組み合わせることができます。 圧縮はハフマン・エンコード (Huffman encoding) によって行われます。 フィルター操作は、 標準照会言語 (SQL) に似た監査レコード選択 (auditselect コマンドを使用して) で行われ、 これによって監査証跡を選択的に見ることも、選択的に保存しておくこともできます。 監査証跡レコードのフォーマットを行うと、 監査証跡を調べること、定期的セキュリティー・レポートを生成すること、 および、監査証跡の印刷を行うことができます。

STREAM モード監査証跡はリアルタイムでモニターできるので、 即時脅威モニター機能が得られます。 これらのオプションの構成は別々のプログラムによって処理され、 これらのプログラムはデーモン・プロセスとして呼び出して BIN または STREAM モードの監査証跡をフィルターにかけることができますが、 フィルター・プログラムの中には、当然のことながら、一方のモードに適したものと他方のモードに適したものとがあります。