watch コマンド
目的
信頼性のないプログラムを監視します。
構文
説明
watch コマンドによって、root ユーザーまたは監査グループのメンバーは、信頼できないと思われるプログラムの動作を監視することができます。 watch コマンドは、Parameter フィールドの有無にかかわらず、Command パラメーターで指定されたプログラムを開始し、すべての監査イベントまたは -e フラグで指定された監査イベントを記録します。
watch コマンドは、プログラムの実行中に作成されたすべてのプロセス (子プロセスを含む) を監視します。watch コマンドは、発生するすべてのイベントを監視するために、作成されたプロセスを含むすべてのプロセスが終了するまで継続します。
watch コマンドは、監査レコードをフォーマットし、標準出力または -o フラグで指定されたファイルに書き込みます。
watch コマンドが機能するためには、監査サブシステムが構成され、使用可能になっていてはなりません。
フラグ
| 項目 | 説明 |
|---|---|
| -e Events | 監査の対象となるイベントを指定します。Events パラメーターは、/etc/security/audit/events ファイルに定義された監査イベントをコンマで区切ったリストです。デフォルト値はすべてのイベントです。 |
| -o File | 出力ファイルのパス名を指定します。-o フラグを使用しなければ、出力は標準出力に書き出されます。 |
| -X | ユーザー名を表示する他のフラグを指定して使用する場合、長いユーザー名を出力します。その上限は、定義済み属性 (PdAt) の max_logname オブジェクト・データ・マネージャー (ODM) 属性およびカスタマイズ属性 (CuAt) のオブジェクト・クラスにより決まります。ユーザー名が max_logname 属性より大きい場合は、
max_logname 属性で指定された文字数から 1 を引いた数に切り捨てられます。
|
セキュリティー
アクセス制御: このコマンドは、root ユーザーおよび監査グループのメンバーに実行 (x) アクセス権を与えます。 setuid コマンドが root ユーザーに設定されます。 この設定により、他の監査サブシステムのコマンドとファイル、およびトラステッド・コンピューティング・ベース属性にアクセスすることができます。
アクセスされるファイルは下記のとおりです。
| モード | ファイル |
|---|---|
| r | /dev/audit |
| x | /usr/sbin/auditstream |
| x | /usr/sbin/auditselect |
| x | /usr/sbin/auditpr |
RBAC ユーザーおよび Trusted AIX ユーザーへの注意: このコマンドは特権命令を実行できます。 特権命令を実行できるのは特権ユーザーのみです。 権限および特権についての詳細情報は、「セキュリティー」の『特権コマンド・データベース』を参照してください。 このコマンドに関連した特権および権限のリストについては、lssecattr コマンドまたは getcmdattr サブコマンドの項を参照してください。
例
- bar コマンドでオープンされたすべてのファイルを見るには、
下記のように入力します。
このコマンドは、監査装置をオープンし、/usr/lpp/foo/bar コマンドを実行します。 次に、全レコードを読み取り、FILE_Open のイベント・タイプのファイルを選択してフォーマットします。watch -e FILE_Open /usr/lpp/foo/bar -x - 信頼できない可能性のある
xyzproduct プログラムのインストールを監視するには、下記のように入力します。
このコマンドは、監査装置をオープンし、/usr/sbin/installp コマンドを実行します。 次に、すべてのレコードを読み取り、それらをフォーマットします。watch /usr/sbin/installp xyzproduct
ファイル
| 項目 | 説明 |
|---|---|
| /usr/sbin/watch | watch コマンドが入っています。 |
| /dev/audit | 監査レコードを読み取る監査装置を指定します。 |