| AUDIT(4) | FreeBSD Kernel Interfaces Manual | AUDIT(4) |
名称
audit — セキュリティイベント監査書式
options AUDIT解説
セキュリティイベント監査 (Security Event Audit) は、セキュリティに関連しているイベントのきめの細かい設定可能はログ記録を提供する機能であり、 Common Criteria (CC) Common Access Protection Profile (CAPP) 評価の (共通基準 (CC) 共通アクセス保護プロファイル (CAPP)) 要求を満たすことを目的としています。 FreeBSD audit 機能は、最初に Solaris オペレーティングシステムに装備された、事実上の業界基準 (デ・ファクト・スタンダード) の BSM API、ファイル形式とコマンドラインインタフェースを実装しています。ユーザ空間の実装に関する情報は、 libbsm(3) にあります。監査サポートは、カーネルに存在しているなら、 rc.conf(5) フラグを使用して、ブート時に有効にされます。監査デーモン auditd(8) は、様々な監査設定ファイルからカーネルに設定データを押しつけて、 audit を実行するカーネルを設定することに責任があります。
監査特殊デバイス
カーネル audit 機能は、ログを循環させる要求、少ないディスク空間状態、と監査を終了する要求のような、 audit イベントをモニタするために auditd(8) によって使用される、特殊デバイス /dev/audit を提供します。このデバイスはアプリケーションによって使用されるものではありません。監査パイプ特殊デバイス
auditpipe(4) で議論される監査パイプ特殊デバイスは、きめの細かい方法でユーザとイベントを追跡するカスタム事前選択パラメータを設定するのと同様に、アプリケーションが監査証跡 (audit trail) の出力をコピー (tee) できるような、設定可能なライブ追跡メカニズムを提供します。関連項目
auditreduce(1), praudit(1), audit(2), auditctl(2), auditon(2), getaudit(2), getauid(2), poll(2), select(2), setaudit(2), setauid(2), libbsm(3), auditpipe(4), audit_class(5), audit_control(5), audit_event(5), audit.log(5), audit_user(5), audit_warn(5), rc.conf(5), audit(8), auditd(8), auditdistd(8)歴史
OpenBSM 実装は、2004 年に Apple Computer Inc. との契約に基づき、 McAfee Inc. のセキュリティ部門、McAfee Research によって作成されました。その後にそれは、OpenBSM 配布のための基盤として TrustedBSD Project によって採用されました。カーネル audit のサポートは、 FreeBSD 6.2 ではじめて登場しました。
作者
このソフトウェアは、Apple Computer Inc. との契約に基づき、 McAfee Inc. のセキュリティ研究部門、McAfee Research によって作成されました。追加の作者として , と SPARTA Inc. が挙げられます。レコードを監査し、イベントストリームフォーマットを監査する Basic Security Module (BSM) インタフェースは、Sun Microsystems によって定義されました。
このマニュアルページは、 <rwatson@FreeBSD.org>によって書かれました。
バグ
FreeBSD カーネルは、レコードの提出が特権があるプロセスに制限されているように、ユーザアプリケーションによって提出された監査レコードが構文的に有効な BSM であることを完全に有効にしません。これは重大バグではありません。カーネルの監査可能なイベントの計装は、いくつかのシステムコールが監査レコードを生成しないか、または不完全な引数情報で監査レコードを生成するように、完全ではありません、
mac(4) 機能で提供される Mandatory Access Control (MAC) ラベルは、 MAC 決定を必要とするレコードの一部として監査されません。
| May 31, 2009 | FreeBSD |