audit(5)

ユーザーとイベントの選択

監査システムは監査すべきユーザーおよび動作の選択機構を管理責任者に提供します。ユーザーには管理責任者によって audit id というユニークな識別子が割り当てられます。これはユーザーの履歴を通してずっと変わりません。 audusr(1M) コマンドはこのような監査されるユーザーを指定するのに使います。 audevent(1M) コマンドは監査されるシステムの動作 (監査イベント) を指定します。 監査イベントはいくつかのカテゴリに分類されます。 イベントのカテゴリはシステムの特別な面に影響を与える命令の集合で構成されています。 イベントカテゴリ リストは、 audevent(1M) を参照してください。

自己監査プログラム

いくつかの典型的なシステム命令のログデータの量を減らして高レベルの記録を提供するために、一連の特権プログラムには自己監査を行う機能が与えられています。これは、プログラムが自分自身において現在指定されている監査を停止して、それらが行う命令の高レベルな記述を提供します。自己監査プログラムには次のものがあります。 at(1), chfn(1), chsh(1), crontab(1), login(1), newgrp(1), passwd(1), audevent(1M), audisp(1M), audsys(1M), audusr(1M), cron(1M), groupadd(1M), groupdel(1M), groupmod(1M), init(1M), lpsched(1M), sam(1M), userdel(1M), usermod(1M)

これらのコマンドの大部分が、単一のイベントカテゴリに属する監査データを生成します。たとえば、 sam(1M) は、イベント admin の監査データを生成します。複数のイベントカテゴリに属するデータを生成するコマンドもあります。たとえば、 init(1M) は、イベント login および admin の監査データを生成します。

監査データの表示

audisp(1M) コマンドはログファイルに記録された監査データを表示するのに使います。 audisp(1M) は (1 つまたは複数の) ログファイルを時間順の監査ログ 1 つにまとめます。管理責任者は audisp(1M) が提供する表示方法を選択することで、管理責任者が観察したい特定の種類のイベントのみに検索を限定することができます。

監査システムのモニタリング

監査システムが正常に働いて異常な動作が検出されることを保証するため、特権プログラムである daemon の audomon(1M) がバックグラウンドで動作し、さまざまな監査システムのパラメータをモニタします。これらのパラメータが異常な (危険な) 値になったとき、また、監査システムの構成要素が事故でなくなったとき、 audomon(1M) は警告メッセージを表示し、可能ならばその問題を解決しようとします。

監査システムの起動と停止

管理責任者は audsys(1M) コマンドを使って監査システムの起動と中断する、停止または監査システムの状態の簡単な要約を得ることができます。監査システムを起動する前に、 audsys(1M) は指定されたパラメータを検証し、監査システムが安全で一貫性のある状態であることを保証します。

監査ログファイル

監査システムが使用可能になるときはいつも最低でも 1 つの監査ログファイルが存在していなければなりません。また、ログファイルのバックアップも強くお勧めします。これらのファイルはどちらも (ファイルのさまざまな属性とともに) audsys(1M) を使って指定できます。現在のログファイルが最初に指定したサイズを超えるとき、または、監査ファイルシステムがいっぱいになってしまう危険があるとき、システムは可能であれば自動的にバックアップファイルに切り替えます。ログファイルが使用可能な状態でないとき、警告メッセージが管理責任者に適切な行動を求めるために送られます。