一般的な監査ログの生成
以下は、一般的な監査ログ生成の例です。
この例では、システム管理者が監査サブシステムを使用して、 大規模なマルチユーザー・サーバー・システムをモニターするという状況を想定しています。 IDS への直接的な統合は実行されず、すべての監査レコードを手動で検査して、不正がないかどうか調べます。 生成されるデータの量を管理可能なサイズにとどめるために、少数の不可欠な監査イベントだけが記録されます。
イベント検出と見なされる監査イベントを以下に示します。
- FILE_Write
- 構成ファイルへのファイル書き込みに関して知る必要があるため、このイベントは /etc ツリー内のすべてのファイルで使用されます。
- PROC_SetUserIDs
- ユーザー ID のすべての変更
- AUD_Bin_Def
- 監査ビン構成
- USER_SU
- su コマンド
- PASSWORD_Change
- passwd コマンド
- AUD_Lost_Rec
- レコードが失われた場合の通知
- CRON_JobAdd
- 新規 cron ジョブ
- AT_JobAdd
- 新規 at ジョブ
- USER_Login
- すべてのログイン
- PORT_Locked
- 無効な試行が多すぎたことによる、端末でのすべてのロック
一般的な監査ログを生成する方法の例を、以下に示します。
この例では、少数のイベントだけが使用されています。 すべてのイベントを参照するには、すべてのユーザーにクラス名
ALL
を指定できます。 これにより、大量のデータが生成されます。 ユーザーの変更および特権の変更に関連するすべてのイベントを、custom
クラスに追加することもできます。