日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.4-RELEASE-K, 13.0-RELEASE-K から 13.3-RELEASE-K, 14.0-RELEASE-K から 14.1-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
AUDIT_CONTROL(5) FreeBSD ファイルフォーマットマニュアル AUDIT_CONTROL(5)
名称
audit_control -- 監査システムパラメータ
解説
audit_control ファイルは、いくつかの監査システムパラメータを含んでいま
す。このファイルの各行は次の形式です:
parameter:value
パラメータは、次の通りです:
dir 監査ログファイルが格納されるディレクトリ。これらの複数のエントリ
があるかもしれません。このエントリへの変更は、監査システムを再開
することによってのみ、成立することができます。どのように監査シス
テムを再開するかについては、audit(8) を参照してください。
dist on または yes に設定されるとき、auditd(8) は、/var/audit/dist
ディレクトリのすべての証跡 (trail) ファイルへのハードリンクを作成
します。それらのハードリンクは、auditdistd(8) デーモンによって消
費されます。
flags どの監査イベントのクラスがすべてのユーザのために監査されるかを指
定します。audit_user(5) は、個々のユーザのためのイベントをどのよ
うに監査するかを説明しています。監査フラグの形式について下記の情
報を参照してください。
host ローカルシステムの監査ホスト情報を設定するとき、使用するホスト名
または IP アドレスを指定します。このホスト名は、IP または IPv6 ア
ドレスに変換され、それぞれの監査レコードのヘッダに含められます。
DNS プロトコル自体の安全上の問題に加えて一時的エラーの可能性のた
めに、DNS の使用を避けるべきです。代わりに、ホスト名が /etc/hosts
ファイルに指定されることが強く勧められます。詳しい情報について
は、hosts(5) を参照してください。
naflags
動作を特定のユーザのせいにできないとき、どんなクラスのイベントが
監査されるかを定義する監査フラグを含んでいます。
minfree
書き込まれるファイルシステム監査ログで要求される最小の空き空間。
空き空間がこの制限以下になるとき、警告が発行されます。最小の空き
空間の値が設定されてないなら、デフォルトとして 20 パーセントが、
カーネルによって適用されます。
policy 失敗の停止、パスの監査と引数などのような、様々な振る舞いを指定す
るグローバルな監査ポリシフラグのリスト。
filesz バイト単位の最大の追跡のサイズ。0 以外の値に設定されるなら、監査
デーモンは、ほぼこのサイズで監査追跡 (audit trail) ファイルをロー
テート (循環) させます。最小の追跡のサイズ (デフォルトは、512K)
より少ないサイズは、無効として拒絶されます。0 であるなら、追跡
ファイルはファイルサイズに基づいて自動的にローテートしません。便
宜上、追跡 (trail) サイズは、次の接尾辞文字で表現されます: B (バ
イト)、K (キロバイト)、M (メガバイト) または G(ギガバイト)。例え
ば、2M は、2097152 と同じです。
expire-after
いつ監査ログファイルが期限が切れて、削除されるかを指定します。こ
れは、ファイルが、最後に書き込まれて以来の期間が経過した後、また
はすべての追跡 (trail) ファイルの集まりが、指定されたサイズに到達
するとき、または両方の組み合わせです。expire-after パラメータが与
えないなら、監査ログファイルは、監査制御システムによって期限が切
れず、削除もされません。期限切れ指定の形式については、下記の情報
を参照してください。
監査フラグ
監査フラグは、audit_class(5) ファイルで定義される監査クラスのコンマで区切
られたリストです。それらの解釈を変更する接頭辞がイベントのクラスに先行し
ます。次の接頭辞が、各クラスに使用されます:
(none) 成功したイベントと失敗したイベントの両方を記録する。
+ 成功したイベントを記録する。
- 失敗したイベントを記録する。
^ 成功したイベントも失敗したイベントも記録しません。
^+ 成功したイベントを記録しません。
^- 失敗したイベントを記録しません。
監査ポリシフラグ
ポリシフラグフィールドは、次のリストで提供されるポリシフラグのコンマで区
切られたリストです:
cnt イベントは監査されていませんが、プロセスはイベントを実行
し続けることができます。設定されていないなら、監査格納空
間が使い尽くされるとき、プロセスはサスペンドされます。現
在、これは回復可能な状態ではありません。
ahlt イベントを監査することができないなら、システムは失敗で停
止します -- これは最初にディスクの未定の記録を枯渇させ、
次に、オペレーティングシステムを停止 (halt) することから
成ります。
argv execve(2) への監査コマンドライン引数。
arge execve(2) への監査環境変数引数。
seq 生成している監査レコードのユニークな監査シーケンス番号
トークンを含めます (FreeBSD または Darwin では実装されて
いません)。
group 生成している監査レコードの補足されたグループリストを含め
ます (FreeBSD または Darwin では実装されていません。補足
されたグループは、これらのシステムのレコードに決して含ま
れません)。
trail 各監査レコードにトレーラトークン (trailer token) を追加し
ます (FreeBSD または Darwin では実装されていません。ト
レーラは、常にこれらのシステムのレコードに含まれます)。
path 監査レコードにセカンダリファイルパスを含めます (FreeBSD
または Darwin では実装されていません。セカンダリパスは、
これらのシステムのレコードに決して含まれません)。
zonename 各監査レコードとともにゾーン ID トークンを含めます
(FreeBSD または Darwin では実装されていません。FreeBSD 監
査レコードは、現在、jail ID または名前を含んでいません)。
perzone 化k素ローカルゾーンのための監査を有効にします (FreeBSD ま
たは Darwin では実装されていません。FreeBSD では、監査レ
コードは、すべての jails から集められて、単一のグローバル
な追跡 (trail) に置かれます、そして、制限された監査制御だ
けが jail の中で許されます)。
利用可能なディスク空間を超える監査ログがシステムを停止 (halt) するつもり
でないなら、インストールでは、cnt フラグを設定して、ahlt フラグを設定しな
いことをお勧めします。
監査ログ期限切れ指定
期限切れ指定は、1 つの値または 2 つの値の間の AND/OR の論理的な結合で指定
することができます。監査ログファイルの期間の値は、次の接尾辞がある数です:
s 秒単位のログファイルの期間。
h 時間単位のログファイルの期間。
d 日単位のログファイルの期間。
y 年単位のログファイルの期間。
使用されるディスク空間の値は、次の接尾辞がある数です:
(空白) または
B バイト単位の使用されているディスク空間。
K キロバイト単位の使用されているディスク空間。
M メガバイト単位の使用されているディスク空間。
G ギガバイト単位の使用されているディスク空間。
値の接尾辞は、大文字と小文字を区別しています。期間とディスク空間の両方の
値が使用されているなら、それらは、AND または OR によって分離され、両方の
値は、監査ログファイルがいつ期限が切れるかを決定するために使用されます。
AND の場合は、期間とディスク空間の両方の条件は、ログファイルが削除される
前に、満たさなければなりません。OR の場合は、どちらかの条件でログファイル
は、期限切れとなります。例えば:
expire-after: 60d AND 1G
これは、1 ギガバイトのディスクスペースの合計が監査ログによって使用されて
いる場合にだけ、60 日より古いファイルを期限切れとします。
デフォルト
次の設定は、デフォルトの audit_control ファイルに現れます:
dir:/var/audit
flags:lo,aa
minfree:5
naflags:lo,aa
policy:cnt,argv
filesz:2M
expire-after:10M
上記の flags パラメータは、認証と承認イベントと同様に、ログイン/ログアウ
トイベントに対応するシステム全体のマスクを指定します。policy パラメータ
は、監査の格納が満杯になるとき、システムが失敗で停止せず、プロセスをサス
ペンドするべきでないこと、およびコマンドライン引数が AUE_EXECVE イベント
のために監査されるべきであることを指定します。追跡 (trail) ファイルは、
ファイルサイズが約 2MB に到達するとき、監査デーモンによって自動的に回転さ
れます。追跡 (trail) ファイルは、それらの集合体のサイズが 10MB を超えると
き、期限が切れます。
関連ファイル
/etc/security/audit_control
関連項目
auditon(2), audit(4), audit_class(5), audit_event(5), audit_user(5),
audit(8), auditd(8)
歴史
OpenBSM 実装は、2004 年に Apple Computer Inc. との契約に基づき、McAfee
Inc. のセキュリティ部門、McAfee Research によって作成されました。その後に
それは、OpenBSM 配布のための基盤として TrustedBSD Project によって採用さ
れました。
作者
このソフトウェアは、Apple Computer Inc. との契約に基づき、McAfee Inc. の
セキュリティ研究部門、McAfee Research によって作成されました。追加の作者
として Wayne Salamon, Robert Watson と SPARTA Inc. が挙げられます。
レコードを監査し、イベントストリームフォーマットを監査する Basic Security
Module (BSM) インタフェースは、Sun Microsystems によって定義されました。
FreeBSD 11.4 May 14, 2009 FreeBSD 11.4