監査のセットアップ

この手順は、監査サブシステムのセットアップ方法を示したものです。 特定の情報については、それらのステップで示されている構成ファイルを参照してください。

  1. 監査するシステム・アクティビティー (イベント) を、/etc/security/audit/events ファイル内のリストから選択します。 アプリケーションまたはカーネル・エクステンションに新しい監査イベントを追加した場合、 新しいイベントを追加するためにファイルを編集する必要があります。
    • アプリケーション・プログラムに (auditwrite または auditlog サブルーチンを使用して) またはカーネル・エクステンションに (audit_svcstartaudit_svcbcopy、および audit_svcfinis カーネル・サービスを使用して) あるイベントを記録するコードを組み込んだ場合は、そのイベントをこのファイルに追加します。
    • 新しいすべての監査イベントに関するフォーマット指示が、/etc/security/audit/events ファイルに含められているか確認します。 これらの指定により、監査レコードのフォーマット時に、auditpr コマンドで監査証跡を書き込むことができます。
  2. 選択した監査イベントを、監査クラス という類似した項目のセットにグループ化します。 これらの監査クラスを、/etc/security/audit/config ファイル内の classes スタンザに定義します。
  3. 以下に示すように、個人ユーザーに監査クラスを割り当て、 監査しようとするファイル (オブジェクト) に監査イベントを割り当てます。
    • 個人ユーザーに監査クラスを割り当てるには、/etc/security/audit/config ファイルの users スタンザに 1 行追加します。 ユーザーに監査クラスを割り当てるには、chuser コマンドを使用できます。
    • オブジェクト (データまたは実行可能ファイル) へ監査イベントを割り当てるには、 そのファイルのスタンザを /etc/security/audit/objects ファイルに追加します。
    • /usr/lib/security/mkuser.default ファイルを編集して、 新規ユーザーにデフォルトの監査クラスを指定することもできます。 このファイルには、新規ユーザー ID を生成する際に使用されるユーザー属性が保持されます。 例えば、すべての新規ユーザー ID に general 監査クラスを使用するには、 以下のようにします。 
      user:
    auditclasses = general
    pgrp = staff
    groups = staff
    shell = /usr/bin/ksh
    home = /home/$USER

      すべての監査イベントを取得するには、ALL クラスを指定します。 使用頻度が中程度のシステムでこれを行った場合でも、大量のデータが生成されます。 記録されるイベントの数を制限する方が、多くの場合、より実際的です。

  4. /etc/security/audit/config ファイルで、 BIN 収集か STREAM 収集 (またはその両方) を使用して、必要なデータ収集のタイプを構成します。 監査データに個別のファイルシステムを使用することにより、監査データが、 ファイル・スペースに関する他の情報と競合しないようにしてください。 これにより、十分のスペースが監査データ用に確保されます。 以下のように、データ収集のタイプを構成します。
    • BIN 収集を構成する場合:
      1. start スタンザで binmode = on に設定して、BIN モード収集を使用可能にします。
      2. ビンと証跡を構成するために binmode スタンザを編集し、BIN モードのバックエンド処理コマンドを含んでいるファイルのパスを指定します。 バックエンド・コマンドのデフォルト・ファイルは /etc/security/audit/bincmds ファイルです。
      3. 監査ビンの大きさが必要を満たすのに十分かどうか確認し、 それに応じて freespace パラメーターを設定して、 ファイルシステムがいっぱいになったときにアラートが出されるようにします。
      4. 監査パイプで監査ビンを処理するシェル・コマンドを、/etc/security/audit/bincmds ファイルに入れます。
    • STREAM 収集を構成する場合:
      1. start スタンザで streammode = on に設定して、STREAM モード収集を使用可能にします。
      2. streammode スタンザを編集し、 streammode 処理コマンドを含んでいるファイルへのパスを指定するようにします。 この情報を収めているデフォルト・ファイルは、/etc/security/audit/streamcmds ファイルです。
      3. 監査パイプでストリーム・レコードを処理するシェル・コマンドを /etc/security/audit/streamcmds ファイルに入れます。
  5. 構成ファイルに必要な変更を終えると、audit start コマンドを使用して監査サブシステムを使用できる状態になります。 これにより、値 1 で AUD_It イベントが生成されます。
  6. audit query コマンドを使用して、どのイベントおよびオブジェクトが監査されているかを調べます。 これにより、値 2 で AUD_It イベントが生成されます。
  7. audit shutdown コマンド・オプションを使用して、監査サブシステムを再び非活動化します。 これにより、値 4 で AUD_It イベントが生成されます。