RHEL 監査システムリファレンス
更新 -
Table of Contents
監査イベントフィールド
次の表に、現在サポートされているすべての監査イベントフィールドを示します。イベントフィールドは、監査ログファイルの等号の前の値です。
| イベントフィールド | 説明 | RHEL 7 | RHEL 8 |
|---|---|---|---|
| a0、a1、a2、a3 | システムコールの最初の 4 つの引数を 16 進表記でエンコードして記録します。 | はい | はい |
| acct | プロセスが実行されたユーザーアカウント名を記録します。 | はい | はい |
| action | 整合性ポリシールールで実行されるアクションを記録します。 | はい | はい |
| appraise_type | 整合性ポリシールールで使用される評価タイプを記録します。 | はい | はい |
| addr | IPv4 または IPv6 アドレスを記録します。通常、このフィールドはホスト名フィールドの後に続き、ホスト名が解決されるアドレスを含みます。 | はい | はい |
| arch | 16 進表記でエンコードされた、システムの CPU アーキテクチャーに関する情報を記録します。 | はい | はい |
| auid | 監査ユーザー ID を記録します。この ID は、ログイン時にユーザーに割り当てられ、ユーザーの ID が変更した後でもすべてのプロセスに引き継がれます (たとえば、su -john コマンドでユーザーアカウントを切り替えた場合)。 |
はい | はい |
| calipso_doi | RFC5570 Calipso エントリーの DOI を記録します。 | いいえ | はい |
| calipso_type | RFC5570 Calipso エントリーのタイプを記録します。 | いいえ | はい |
| capability | 特定の Linux 機能を設定するために使用されたビット数を記録します。Linux 機能の詳細は、capabilities(7) man ページを参照してください。 |
はい | はい |
| cap_fe | 有効なファイルシステムベースの機能ビットの設定に関連するデータを記録します。 | はい | はい |
| cap_fi | 継承されたファイルシステムベースの機能の設定に関連するデータを記録します。 | はい | はい |
| cap_fp | 許可されたファイルシステムベースの機能の設定に関連するデータを記録します。 | はい | はい |
| cap_fver | ファイルシステムベースの機能のバージョンを記録します。 | はい | はい |
| cap_pe | 効果的なプロセスベースの機能の設定に関連するデータを記録します。 | はい | はい |
| cap_pi | 継承されたプロセスベースの機能の設定に関連するデータを記録します。 | はい | はい |
| cap_pp | 許可されたプロセスベースの機能の設定に関連するデータを記録します。 | はい | はい |
| cause | 整合性ポリシールールに原因を記録します。 | はい | はい |
| cgroup | 監査イベントが生成された時点のプロセスを含む cgroup へのパスを記録します。 | はい | はい |
| cmd | 実行されたコマンドライン全体を記録します。これは、exe フィールドがシェルインタープリターとして /bin/bash などを記録し、cmd フィールドが実行される残りのコマンドライン (helloworld.sh --help など) を記録するシェルインタープリターの場合に役立ちます。 |
はい | はい |
| code | seccomp アクションを記録します。 | はい | はい |
| comm | 実行されたコマンドを記録します。これは、exe フィールドがシェルインタープリターとして /bin/bash などを記録し、comm フィールドが実行されるスクリプトの名前 (helloworld.sh など) を記録するシェルインタープリターの場合に役立ちます。 |
はい | はい |
| compat | seccomp アクションで syscall 互換モードを記録します。 | はい | はい |
| cwd | システムコールが呼び出されたディレクトリーへのパスを記録します。 | はい | はい |
| data | TTY レコードに関連付けられたデータを記録します。 | はい | はい |
| dev | イベントに記録されたファイルまたはディレクトリーを含むデバイスのマイナーおよびメジャー ID を記録します。 | はい | はい |
| devmajor | メジャー デバイス ID を記録します。 | はい | はい |
| devminor | マイナー デバイス ID を記録します。 | はい | はい |
| egid | 分析されたプロセスを開始したユーザーの実効グループ ID を記録します。 | はい | はい |
| euid | 分析されたプロセスを開始したユーザーの実効ユーザー ID を記録します。 | はい | はい |
| exe | 分析されたプロセスを呼び出すために使用された実行可能ファイルへのパスを記録します。 | はい | はい |
| exit | システムコールによって返された終了コードを記録します。この値は、システムコールによって異なります。ausearch --interpret --exit exit_code のコマンドを使用して、人間が判読できる値に変換できます。 |
はい | はい |
| family | 使用されたアドレスプロトコルのタイプ (IPv4 または IPv6) を記録します。 | はい | はい |
| feature | 設定またはクリアされる監査機能を記録します。 | はい | はい |
| file | 整合性測定に関連するファイルを記録します。 | はい | はい |
| filetype | ファイルのタイプを記録します。 | はい | はい |
| flags | ファイルシステム名フラグを記録します。 | はい | はい |
| fowner | 整合性ポリシールールで使用されるファイルの所有者を記録します。 | はい | はい |
| fsgid | 分析されたプロセスを開始したユーザーのファイルシステムグループ ID を記録します。 | はい | はい |
| fsmagic | 整合性ポリシールールで使用されるファイルシステムマジックを記録します。 | はい | はい |
| fsuuid | 整合性ポリシールールで使用される fsuuid を記録します。 | はい | はい |
| fsuid | 分析されたプロセスを開始したユーザーのファイルシステムユーザー ID を記録します。 | はい | はい |
| func | 整合性ポリシールールに関連する機能を記録します。 | はい | はい |
| gid | グループ ID を記録します。 | はい | はい |
| ハッシュ | 整合性測定に関係するファイルのハッシュを記録します。 | はい | はい |
| hostname | ホスト名を記録します。 | はい | はい |
| icmptype | 受信したインターネット制御メッセージプロトコル (ICMP) パッケージの種類を記録します。このフィールドを含む監査メッセージは通常、iptables によって生成されます。 | はい | はい |
| id | 変更されたアカウントのユーザー ID を記録します。 | はい | はい |
| inode | 監査イベントで記録されたファイルまたはディレクトリーに関連付けられた inode 番号を記録します。 | はい | はい |
| inode_gid | inode の所有者のグループ ID を記録します。 | はい | はい |
| inode_uid | inode の所有者のユーザー ID を記録します。 | はい | はい |
| ip | seccomp アクションのインストラクションポインターを記録します。 | はい | はい |
| 項目 | このレコードに関連付けられているパスレコードの数を記録します。 | はい | はい |
| キー | 特定のイベントを生成したルールに関連付けられたユーザー定義の文字列を監査ログに記録します。 | はい | はい |
| list | 監査ルールリスト ID を記録します。以下は既知の ID のリストです: 0 — user, 1 — task, 4 — exit, 5 — exclude | はい | はい |
| mode | 数値表記でエンコードされた、ファイルまたはディレクトリーのパーミッションを記録します。 | はい | はい |
| msg | タイムスタンプとレコードの一意の ID、またはカーネルやユーザースペースアプリケーションによって提供される様々なイベント固有の |
はい | はい |
| msgtype | ユーザーベースの AVC 拒否の場合に返されるメッセージタイプを記録します。メッセージタイプは D-Bus によって決定されます。 | はい | はい |
| name | システムコールに引数として渡されたファイルまたはディレクトリーのフルパスを記録します。 | はい | はい |
| new-disk | 仮想マシンに割り当てられた新しいディスクリソースの名前を記録します。 | はい | はい |
| new-mem | 仮想マシンに割り当てられた新しいメモリーリソースの量を記録します。 | はい | はい |
| new-vcpu | 仮想マシンに割り当てられた新しい仮想 CPU リソースの数を記録します。 | はい | はい |
| new-net | 仮想マシンに割り当てられた新しいネットワークインターフェイスリソースの MAC アドレスを記録します。 | はい | はい |
| new_gid | ユーザーに割り当てられたグループ ID を記録します。 | はい | はい |
| new_lock | 監査機能に設定されているロックの新しい値を記録します。 | はい | はい |
| nsec | システムクロックがシフトされたナノ秒数を記録します。 | いいえ | はい |
| oauid | (たとえば、su を使用するのではなく) システムにアクセスするためにログインし、ターゲットプロセスを開始したユーザーのユーザー ID を記録します。このフィールドは、タイプ OBJ_PID のレコード専用です。 | はい | はい |
| ocomm | ターゲットプロセスを開始するために使用されたコマンドを記録します。このフィールドは、タイプ OBJ_PID のレコード専用です。 | はい | はい |
| old_lock | 監査機能に設定されているロックの古い値を記録します。 | はい | はい |
| opid | 対象プロセスのプロセス ID を記録します。このフィールドは、タイプ OBJ_PID のレコード専用です。 | はい | はい |
| oses | ターゲットプロセスのセッション ID を記録します。このフィールドは、タイプ OBJ_PID のレコード専用です。 | はい | はい |
| ouid | ターゲットプロセスの実ユーザー ID を記録します。 | はい | はい |
| obj | オブジェクトの SELinux コンテキストを記録します。オブジェクトは、ファイル、ディレクトリー、ソケット、またはサブジェクトのアクションを受け取るものであれば何でもかまいません。 | はい | はい |
| objtype | システムコールのコンテキストで PATH レコードオブジェクトの意図を記録します。 | はい | はい |
| obj_gid | オブジェクトのグループ ID を記録します。 | はい | はい |
| obj_lev_high | オブジェクトの高い SELinux レベルを記録します。 | はい | はい |
| obj_lev_low | オブジェクトの低い SELinux レベルを記録します。 | はい | はい |
| obj_role | オブジェクトの SELinux ロールを記録します。 | はい | はい |
| obj_type | オブジェクトのタイプを記録します。 | はい | はい |
| obj_uid | オブジェクトの UID を記録します | はい | はい |
| obj_user | オブジェクトに関連付けられているユーザーを記録します。 | はい | はい |
| ogid | オブジェクト所有者のグループ ID を記録します。 | はい | はい |
| old-disk | 新しいディスクリソースが仮想マシンに割り当てられたときに、古いディスクリソースの名前を記録します。 | はい | はい |
| old-mem | 新しい量のメモリーが仮想マシンに割り当てられたときに、古いメモリーリソースの量を記録します。 | はい | はい |
| old-vcpu | 新しい仮想 CPU が仮想マシンに割り当てられたときに、古い仮想 CPU リソースの数を記録します。 | はい | はい |
| old-net | 新しいネットワークインターフェイスが仮想マシンに割り当てられたときに、古いネットワークインターフェイスリソースの MAC アドレスを記録します。 | はい | はい |
| old_prom | ネットワークプロミスキュアティーフラグの以前の値を記録します。 | はい | はい |
| ouid | ターゲットプロセスを開始したユーザーの実ユーザー ID を記録します。 | はい | はい |
| path | AVC 関連の監査イベントの場合に、引数としてシステムコールに渡されたファイルまたはディレクトリーのフルパスを記録します。 | はい | はい |
| perm | イベント (つまり、読み取り、書き込み、実行、または属性変更) を生成するために使用されたファイルパーミッションを記録します。 | はい | はい |
| pid | pid フィールドのセマンティクスは、このフィールドの値の由来に依存します。ユーザー空間から生成されたフィールドでは、このフィールドはプロセス ID を保持します。カーネルによって生成されるフィールドでは、このフィールドはスレッド ID を保持します。スレッド ID は、シングルスレッドプロセスのプロセス ID と同じです。このスレッド ID の値は、ユーザー空間で使用される pthread_t ID の値とは異なることに注意してください。詳細は、gettid(2) man ページを参照してください。 |
はい | はい |
| ppid | 親プロセス ID (PID) を記録します。 | はい | はい |
| proctitle | 分析されたプロセスを呼び出すために使用されたコマンドの完全なコマンドラインを記録します。このフィールドは 16 進数の表記で記録され、Audit ログパーサーに影響が及ばないようにします。このテキストは、この Audit イベントを開始したコマンドに復号します。ausearch コマンドで Audit レコードを検索する場合は、-i オプションまたは --interpret オプションを使用して、16 進数の値を人間が判読できる値に自動的に変換します。 |
はい | はい |
| prom | ネットワークプロミスキュアティーフラグを記録します。 | はい | はい |
| proto | 使用されたネットワークプロトコルを記録します。このフィールドは、iptables によって生成された監査イベントに固有です。 | はい | はい |
| res | 監査イベントをトリガーした操作の結果を記録します。 | はい | はい |
| resp | fanotify アクセス制御デシジョンからの応答を記録します。 | はい | はい |
| result | 監査イベントをトリガーした操作の結果を記録します。 | はい | はい |
| saddr | ソケットアドレスを記録します。 | はい | はい |
| sauid | 送信者監査ログインユーザー ID を記録します。この ID は、カーネルが元の auid を送信しているユーザーを確認できないため、D-Bus によって提供されます。 | はい | はい |
| 秒 | システムクロックがシフトされた秒数を記録します。 | いいえ | はい |
| ses | 解析したプロセスが呼び出されたセッションのセッション ID を記録します。 | はい | はい |
| sgid | 解析したプロセスを起動したユーザーの設定グループ ID を記録します。 | はい | はい |
| sig | プログラムを異常終了させるシグナルの番号を記録します。通常、これはシステムへの侵入の兆候です。 | はい | はい |
| subj | サブジェクトの SELinux コンテキストを記録します。サブジェクトは、プロセス、ユーザー、またはオブジェクトに作用するあらゆるものです。 | はい | はい |
| subj_clr | サブジェクトの SELinux クリアランスを記録します。 | はい | はい |
| subj_role | サブジェクトの SELinux ロールを記録します。 | はい | はい |
| subj_sen | サブジェクトの SELinux 機密性を記録します。 | はい | はい |
| subj_type | サブジェクトのタイプを記録します。 | はい | はい |
| subj_user | サブジェクトに関連付けられているユーザーを記録します。 | はい | はい |
| success | システムコールが成功したか失敗したかを記録します。 | はい | はい |
| suid | 解析したプロセスを起動したユーザーの設定ユーザー ID を記録します。 | はい | はい |
| syscall | カーネルに送信されたシステムコールのタイプを記録します。 | はい | はい |
| terminal | 端末名を記録します (/dev/ なし)。 |
はい | はい |
| tty | 制御端末の名前を記録します。プロセスに制御端末がない場合は、値 (none) が使用されます。 | はい | はい |
| uid | 解析したプロセスを開始したユーザーの実ユーザー ID を記録します。 | はい | はい |
| vm | 監査イベントの発生元の仮想マシンの名前を記録します。 | はい | はい |
| xattr | EVM によって変更および保護された一連の拡張属性を記録します。 | いいえ | はい |
監査記録の種類
次の表に、現在サポートされている監査レコードのすべてのタイプを示します。イベントタイプは、すべての監査レコードの先頭にある type= フィールドで指定されます。
| イベントタイプ | 説明 | RHEL 7 | RHEL 8 |
|---|---|---|---|
| ACCT_LOCK | ユーザー空間のユーザーアカウントが管理者によってロックされたときにトリガーされます。 | はい | はい |
| ACCT_UNLOCK | ユーザー空間のユーザーアカウントが管理者によってロック解除されたときにトリガーされます。 | はい | はい |
| ADD_GROUP | ユーザー空間グループが追加されたときにトリガーされます。 | はい | はい |
| ADD_USER | ユーザー空間のユーザーアカウントが追加されたときにトリガーされます。 | はい | はい |
| ANOM_ABEND1 | プロセスが異常終了したときにトリガーされます (有効な場合、コアダンプを引き起こす可能性のあるシグナルを使用して)。 | はい | はい |
| ANOM_ACCESS_FS1 | ファイルまたはディレクトリーへのアクセスが異常終了したときにトリガーされます。 | はい | はい |
| ANOM_ADD_ACCT1 | ユーザー空間アカウントの追加が異常終了したときにトリガーされます。 | はい | はい |
| ANOM_AMTU_FAIL1 | Abstract Machine Test Utility (AMTU) の失敗が検出されたときにトリガーされます。 | はい | はい |
| ANOM_CRYPTO_FAIL1 | 暗号化システムの失敗が検出されたときにトリガーされます。 | はい | はい |
| ANOM_DEL_ACCT1 | ユーザー空間アカウントの削除が異常終了したときにトリガーされます。 | はい | はい |
| ANOM_EXEC1 | ファイルの実行が異常終了したときにトリガーされます。 | はい | はい |
| ANOM_LINK1 | ファイルリンクの疑わしい使用が検出されたときにトリガーされます。 | はい | はい |
| ANOM_LOGIN_ACCT1 | アカウントのログイン試行が異常終了したときにトリガーされます。 | はい | はい |
| ANOM_LOGIN_FAILURES1 | 失敗したログイン試行の制限に達したときにトリガーされます。 | はい | はい |
| ANOM_LOGIN_LOCATION1 | 禁止された場所からログイン試行が行われたときにトリガーされます。 | はい | はい |
| ANOM_LOGIN_SESSIONS1 | ログイン試行が同時セッションの最大数に達したときにトリガーされます。 | はい | はい |
| ANOM_LOGIN_TIME1 | pam_time などによって妨げられているときにログイン試行が行われるとトリガーされます。 |
はい | はい |
| ANOM_MAX_DAC1 | Discretionary Access Control (DAC) の失敗が最大数に達したときにトリガーされます。 | はい | はい |
| ANOM_MAX_MAC1 | Mandatory Access Control (MAC) の失敗が最大数に達したときにトリガーされます。 | はい | はい |
| ANOM_MK_EXEC1 | ファイルが実行可能になったときにトリガーされます。 | はい | はい |
| ANOM_MOD_ACCT1 | ユーザー空間のアカウント変更が異常終了したときにトリガーされます。 | はい | はい |
| ANOM_PROMISCUOUS1 | デバイスがプロミスキャスモードを有効または無効にしたときにトリガーされます。 | はい | はい |
| ANOM_RBAC_FAIL1 | Role-Based Access Control (RBAC) セルフテストの失敗が検出されたときにトリガーされます。 | はい | はい |
| ANOM_RBAC_INTEGRITY_FAIL1 | Role-Based Access Control (RBAC) ファイルの整合性テストの失敗が検出されたときにトリガーされます。 | はい | はい |
| ANOM_ROOT_TRANS1 | ユーザーがルートになったときにトリガーされます。 | はい | はい |
| AVC | SELinux パーミッションチェックを記録するためにトリガーされます。 | はい | はい |
| AVC_PATH | SELinux パーミッションチェックが発生したときに、dentry と vfsmount のペアを記録するためにトリガーされます。 | はい | はい |
| BPRM_FCAPS | ユーザーがファイルシステム機能を使用してプログラムを実行するとトリガーされます。 | はい | はい |
| CAPSET | プロセスベースの機能に設定されている機能を記録するためにトリガーされます。たとえば、ルートとして実行して機能を削除します。 | はい | はい |
| CHGRP_ID | ユーザー空間のグループ ID が変更されたときにトリガーされます。 | はい | はい |
| CHUSER_ID | ユーザー空間のユーザー ID が変更されたときにトリガーされます。 | はい | はい |
| CONFIG_CHANGE | 監査システム設定が変更されたときにトリガーされます。 | はい | はい |
| CRED_ACQ | ユーザーがユーザー空間の資格情報を取得したときにトリガーされます。 | はい | はい |
| CRED_DISP | ユーザーがユーザー空間の資格情報を破棄するときにトリガーされます。 | はい | はい |
| CRED_REFR | ユーザーがユーザー空間の資格情報を更新するとトリガーされます。 | はい | はい |
| CRYPTO_FAILURE_USER | 暗号化操作の復号化、暗号化、またはランダム化が失敗したときにトリガーされます。 | はい | はい |
| CRYPTO_IKE_SA | Internet Key Exchange Security Association が確立されたときにトリガーされます。 | はい | はい |
| CRYPTO_IPSEC_SA | インターネットプロトコルセキュリティーアソシエーションが確立されたときにトリガーされます。 | はい | はい |
| CRYPTO_KEY_USER | 暗号化の目的で使用される暗号化キー識別子を記録するためにトリガーされます。 | はい | はい |
| CRYPTO_LOGIN | 暗号化オフィサーのログイン試行が検出されたときにトリガーされます。 | はい | はい |
| CRYPTO_LOGOUT | 暗号化オフィサーのログアウト試行が検出されたときにトリガーされます。 | はい | はい |
| CRYPTO_PARAM_CHANGE_USER | 暗号化パラメーターの変更が検出されたときにトリガーされます。 | はい | はい |
| CRYPTO_REPLAY_USER | リプレイ攻撃が検出されるとトリガーされます。 | はい | はい |
| CRYPTO_SESSION | TLS セッションの確立中に設定されたパラメーターを記録するためにトリガーされます。 | はい | はい |
| CRYPTO_TEST_USER | FIPS-140 標準で要求されているように、暗号化テストの結果を記録するためにトリガーされます。 | はい | はい |
| CWD | 現在の作業ディレクトリーを記録するためにトリガーされます。 | はい | はい |
| DAC_CHECK | DAC チェック結果を記録するためにトリガーされます。 | はい | はい |
| DAEMON_ABORT | エラーが原因でデーモンが停止したときにトリガーされます。 | はい | はい |
| DAEMON_ACCEPT | auditd デーモンがリモート接続を受け入れるときにトリガーされます。 | はい | はい |
| DAEMON_CLOSE | auditd デーモンがリモート接続を閉じるときにトリガーされます。 | はい | はい |
| DAEMON_CONFIG | デーモン設定の変更が検出されたときにトリガーされます。 | はい | はい |
| DAEMON_END | デーモンが正常に停止したときにトリガーされます。 | はい | はい |
| DAEMON_ERR | auditd デーモンの内部エラーが検出されたときにトリガーされます。 | はい | はい |
| DAEMON_RESUME | auditd デーモンがロギングを再開するときにトリガーされます。 | はい | はい |
| DAEMON_ROTATE | auditd デーモンが監査ログファイルをローテーションするときにトリガーされます。 | はい | はい |
| DAEMON_START | auditd デーモンの開始時にトリガーされます。 | はい | はい |
| DEL_GROUP | ユーザー空間グループが削除されたときにトリガーされます | はい | はい |
| DEL_USER | ユーザー空間のユーザーが削除されたときにトリガーされます | はい | はい |
| DEV_ALLOC | デバイスが割り当てられたときにトリガーされます。 | はい | はい |
| DEV_DEALLOC | デバイスの割り当てが解除されたときにトリガーされます。 | はい | はい |
| EOE | マルチレコードイベントの終了を記録するためにトリガーされます。 | はい | はい |
| EXECVE | execve(2) システムコールの引数を記録するためにトリガーされます。 |
はい | はい |
| FANOTIFY | fanotify アクセスディシジョンが行われたときにトリガーされます。 | はい | はい |
| FD_PAIR | pipe および socketpair システムコールの使用を記録するためにトリガーされます。 | はい | はい |
| FEATURE_CHANGE | 監査機能の値が変更されたときにトリガーされます。 | はい | はい |
| FS_RELABEL | ファイルシステムのラベル変更操作が検出されたときにトリガーされます。 | はい | はい |
| GRP_AUTH | ユーザー空間グループに対する認証にグループパスワードが使用されたときにトリガーされます。 | はい | はい |
| GRP_CHAUTHTOK | グループアカウントのパスワードまたは PIN が変更されたときにトリガーされます。 | はい | はい |
| GRP_MGMT | ユーザー空間グループのアカウント属性の変更を記録するためにトリガーされます。 | はい | はい |
| INTEGRITY_DATA2 | カーネルによって実行されるデータの整合性検証イベントを記録するためにトリガーされます。 | はい | はい |
| INTEGRITY_EVM_XATTR2 | EVM の対象となる拡張属性が変更されたときにトリガーされます。 | いいえ | はい |
| INTEGRITY_HASH2 | カーネルによって実行されるハッシュタイプの整合性検証イベントを記録するためにトリガーされます。 | はい | はい |
| INTEGRITY_METADATA2 | カーネルによって実行されるメタデータの整合性検証イベントを記録するためにトリガーされます。 | はい | はい |
| INTEGRITY_PCR2 | Platform Configuration Register (PCR) 無効化メッセージを記録するためにトリガーされます。 | はい | はい |
| INTEGRITY_RULE2 | ポリシールールを記録するためにトリガーされます。 | はい | はい |
| INTEGRITY_STATUS2 | 整合性検証のステータスを記録するためにトリガーされます。 | はい | はい |
| IPC | システムコールによって参照されるプロセス間通信オブジェクトに関する情報を記録するためにトリガーされます。 | はい | はい |
| IPC_SET_PERM | IPC オブジェクトの IPC_SET コントロール操作によって設定された新しい値に関する情報を記録するためにトリガーされます。 | はい | はい |
| KERN_MODULE | ロードまたはアンロード時にカーネルモジュール名を記録するためにトリガーされます。 | はい | はい |
| KERNEL | 監査システムの初期化を記録するためにトリガーされます。 | はい | はい |
| KERNEL_OTHER | サードパーティーのカーネルモジュールからの情報を記録するためにトリガーされます。 | はい | はい |
| LABEL_LEVEL_CHANGE | オブジェクトのレベルラベルが変更されたときにトリガーされます。 | はい | はい |
| LABEL_OVERRIDE | 管理者がオブジェクトのレベルラベルをオーバーライドするときにトリガーされます。 | はい | はい |
| LOGIN | ユーザーがシステムにアクセスするためにログインするときに、関連するログイン情報を記録するためにトリガーされます。 | はい | はい |
| MAC_CALIPSO_ADD | NetLabel CALIPSO DOI エントリーが追加されたときにトリガーされます。 | いいえ | はい |
| MAC_CALIPSO_DEL | NetLabel CALIPSO DOI エントリーが削除されたときにトリガーされます。 | いいえ | はい |
| MAC_CHECK | ユーザー空間の MAC (Mandatory Access Control) の決定が行われたときにトリガーされます。 | はい | はい |
| MAC_CIPSOV4_ADD | Commercial Internet Protocol Security Option (CIPSO) ユーザーが新しい Domain of Interpretation (DOI) を追加するとトリガーされます。DOI の追加は、NetLabel が提供するカーネルのパケットラベル付け機能の一部です。 | はい | はい |
| MAC_CIPSOV4_DEL | CIPSO ユーザーが既存の DOI を削除するとトリガーされます。DOI の追加は、NetLabel が提供するカーネルのパケットラベル付け機能の一部です。 | はい | はい |
| MAC_CONFIG_CHANGE | SELinux ブール値が変更されたときにトリガーされます。 | はい | はい |
| MAC_IPSEC_EVENT | IPSec イベントが検出されたとき、または IPSec 設定が変更されたときに、IPSec イベントに関する情報を記録するためにトリガーされます。 | はい | はい |
| MAC_MAP_ADD | 新しい Linux セキュリティーモジュール (LSM) ドメインマッピングが追加されたときにトリガーされます。LSM ドメインマッピングは、NetLabel が提供するカーネルのパケットラベリング機能の一部です。 | はい | はい |
| MAC_MAP_DEL | 既存の LSM ドメインマッピングが削除されたときにトリガーされます。LSM ドメインマッピングは、NetLabel が提供するカーネルのパケットラベリング機能の一部です。 | はい | はい |
| MAC_POLICY_LOAD | SELinux ポリシーファイルがロードされるときにトリガーされます。 | はい | はい |
| MAC_STATUS | SELinux モード (enforcing、permissive、off) が変更されたときにトリガーされます。 | はい | はい |
| MAC_UNLBL_ALLOW | NetLabel が提供するカーネルのパケットラベリング機能を使用しているときに、ラベリングされていないトラフィックが許可されるとトリガーされます。 | はい | はい |
| MAC_UNLBL_STCADD | NetLabel が提供するカーネルのパケットラベリング機能を使用しているときに、静的ラベルが追加されるとトリガーされます。 | はい | はい |
| MAC_UNLBL_STCDEL | NetLabel が提供するカーネルのパケットラベリング機能を使用しているときに、静的ラベルが削除されるとトリガーされます。 | はい | はい |
| MMAP | ファイル記述子と mmap (2) システムコールのフラグを記録するためにトリガーされます。 | はい | はい |
| MQ_GETSETATTR | mq_getattr (3) および mq_setattr (3) メッセージキュー属性を記録するためにトリガーされます。 | はい | はい |
| MQ_NOTIFY | mq_notify (3) システムコールの引数を記録するためにトリガーされます。 | はい | はい |
| MQ_OPEN | mq_open (3) システムコールの引数を記録するためにトリガーされます。 | はい | はい |
| MQ_SENDRECV | mq_send (3) および mq_receive (3) システムコールの引数を記録するためにトリガーされます。 | はい | はい |
| NETFILTER_CFG | Netfilter チェーンの変更が検出されたときにトリガーされます。 | はい | はい |
| NETFILTER_PKT | Netfilter チェーンを通過するパケットを記録するためにトリガーされます。 | はい | はい |
| OBJ_PID | シグナルの送信先のプロセスに関する情報を記録するためにトリガーされます。 | はい | はい |
| PATH | ファイル名のパス情報を記録するためにトリガーされます。 | はい | はい |
| PROCTITLE | カーネルへのシステムコールにより発生するこの監査イベントを発生させた完全なコマンドラインを提供することが指定されることを示しています。 | はい | はい |
| RESP_ACCT_LOCK3 | ユーザーアカウントがロックされたときにトリガーされます。 | はい | はい |
| RESP_ACCT_LOCK_TIMED3 | ユーザーアカウントが一定期間ロックされるとトリガーされます。 | はい | はい |
| RESP_ACCT_REMOTE3 | ユーザーアカウントがリモートセッションからロックされたときにトリガーされます。 | はい | はい |
| RESP_ACCT_UNLOCK_TIMED3 | 設定された期間が経過した後にユーザーアカウントのロックが解除されたときにトリガーされます。 | はい | はい |
| RESP_ALERT3 | アラートメールが送信されたときにトリガーされます。 | はい | はい |
| RESP_ANOMALY3 | 異常が対処されなかったときにトリガーされます。 | はい | はい |
| RESP_EXEC3 | 侵入検知プログラムが、プログラムの実行に起因する脅威に応答するときにトリガーされます。 | はい | はい |
| RESP_HALT3 | システムのシャットダウン時にトリガーされます。 | はい | はい |
| RESP_KILL_PROC3 | プロセスが終了したときにトリガーされます。 | はい | はい |
| RESP_SEBOOL3 | SELinux ブール値が設定されたときにトリガーされます。 | はい | はい |
| RESP_SINGLE3 | システムがシングルユーザーモードになったときにトリガーされます。 | はい | はい |
| RESP_TERM_ACCESS3 | セッションが終了したときにトリガーされます。 | はい | はい |
| RESP_TERM_LOCK3 | 端末がロックされたときにトリガーされます。 | はい | はい |
| ROLE_ASSIGN | 管理者がユーザーに SELinux ロールを割り当てるとトリガーされます。 | はい | はい |
| ROLE_MODIFY | 管理者が SELinux ロールを変更するとトリガーされます。 | はい | はい |
| ROLE_REMOVE | 管理者が SELinux ロールからユーザーを削除するとトリガーされます。 | はい | はい |
| SECCOMP | SECure COMPuting イベントが検出されたときにトリガーされます。 | はい | はい |
| SELINUX_ERR | 内部 SELinux エラーが検出されたときにトリガーされます。 | はい | はい |
| SERVICE_START | サービスの開始時にトリガーされます。 | はい | はい |
| SERVICE_STOP | サービスが停止したときにトリガーされます。 | はい | はい |
| SOCKADDR | ソケットアドレスを記録するためにトリガーされます。 | はい | はい |
| SOCKETCALL | sys_socketcall システムコールの引数を記録するためにトリガーされます (多くのソケット関連のシステムコールを多重化するために使用されます)。 | はい | はい |
| SOFTWARE_UPDATE | ソフトウェア更新イベントを記録するためにトリガーされます。 | はい | はい |
| SYSCALL | カーネルへのシステムコールを記録するためにトリガーされます。 | はい | はい |
| SYSTEM_BOOT | システムの起動時にトリガーされます。 | はい | はい |
| SYSTEM_RUNLEVEL | システムの実行レベルが変更されたときにトリガーされます。 | はい | はい |
| SYSTEM_SHUTDOWN | システムのシャットダウン時にトリガーされます。 | はい | はい |
| テスト | テストメッセージの成功値を記録するためにトリガーされます。 | はい | はい |
| TIME_ADJNTPVAL | システムクロックが変更されたときにトリガーされます。 | いいえ | はい |
| TIME_INJOFFSET | タイムキーピングオフセットがシステムクロックに挿入されるとトリガーされます。 | いいえ | はい |
| TRUSTED_APP | このタイプのレコードは、監査を必要とするサードパーティーアプリケーションで使用できます。 | はい | はい |
| TTY | TTY 入力が管理プロセスに送信されたときにトリガーされます。 | はい | はい |
| USER_ACCT | ユーザー空間のユーザー認証試行が検出されたときにトリガーされます。 | はい | はい |
| USER_AUTH | ユーザー空間のユーザー認証試行が検出されたときにトリガーされます。 | はい | はい |
| USER_AVC | ユーザー空間の AVC メッセージが生成されたときにトリガーされます。 | はい | はい |
| USER_CHAUTHTOK | ユーザーアカウントのパスワードまたは PIN が変更されたときにトリガーされます。 | はい | はい |
| USER_CMD | ユーザー空間のシェルコマンドが実行されたときにトリガーされます。 | はい | はい |
| USER_DEVICE | ユーザー空間のホットプラグデバイスが変更されたときにトリガーされます。 | はい | はい |
| USER_END | ユーザー空間セッションが終了したときにトリガーされます。 | はい | はい |
| USER_ERR | ユーザーアカウントの状態エラーが検出されたときにトリガーされます。 | はい | はい |
| USER_LABELED_EXPORT | オブジェクトが SELinux ラベルでエクスポートされるときにトリガーされます。 | はい | はい |
| USER_LOGIN | ユーザーのログイン時にトリガーされます。 | はい | はい |
| USER_LOGOUT | ユーザーがログアウトするときにトリガーされます。 | はい | はい |
| USER_MAC_POLICY_LOAD | ユーザー空間デーモンが SELinux ポリシーをロードするときにトリガーされます。 | はい | はい |
| USER_MGMT | ユーザー空間のユーザーアカウント属性の変更を記録するためにトリガーされます。 | はい | はい |
| USER_ROLE_CHANGE | ユーザーの SELinux ロールが変更されたときにトリガーされます。 | はい | はい |
| USER_SELINUX_ERR | ユーザー空間の SELinux エラーが検出されたときにトリガーされます。 | はい | はい |
| USER_START | ユーザー空間セッションが開始されたときにトリガーされます。 | はい | はい |
| USER_TTY | 管理プロセスへの TTY 入力に関する説明メッセージがユーザー空間から送信されたときにトリガーされます。 | はい | はい |
| USER_UNLABELED_EXPORT | オブジェクトが SELinux ラベルなしでエクスポートされるときにトリガーされます。 | はい | はい |
| USYS_CONFIG | ユーザー空間のシステム設定の変更が検出されたときにトリガーされます。 | はい | はい |
| VIRT_CONTROL | 仮想マシンが開始、一時停止、または停止されたときにトリガーされます。 | はい | はい |
| VIRT_MACHINE_ID | 仮想マシンへのラベルのバインドを記録するためにトリガーされます。 | はい | はい |
| VIRT_RESOURCE | 仮想マシンのリソース割り当てを記録するためにトリガーされます。 | はい | はい |
その他のリソース
auditd(8)man ページausearch(8)man ページauditd.conf(5)man ページ
-
ANOM で始まるすべての監査イベントタイプは、侵入検知プログラムによって処理されることを意図しています。 ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎
-
このイベントタイプは、Trusted Platform Module (TPM) チップで最適に機能する Integrity Measurement Architecture (IMA) に関連しています。 ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎
-
RESP で始まるすべての監査イベントタイプは、システムで悪意のあるアクティビティーが検出された場合の侵入検知システムの意図した応答です。 ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎ ↩︎
Comments