Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
B.2. 監査レコードタイプ
表B.2「レコードタイプ」 現在サポートしているすべてのタイプの Audit レコードを一覧表示します。イベントタイプは、すべての Audit レコードの最初にある
type=
フィールドに指定されます。
表B.2 レコードタイプ
イベントタイプ | 説明 |
---|---|
ADD_GROUP | ユーザーグループが追加されるとトリガーされます。 |
ADD_USER | ユーザー空間ユーザーアカウントが追加されるとトリガーされます。 |
ANOM_ABEND [a] | プロセスが異常終了すると発生します(有効にされている場合はコアダンプの原因となるシグナル)。 |
ANOM_ACCESS_FS [a] | ファイルまたはディレクトリーアクセスが異常終了するとトリガーされます。 |
ANOM_ADD_ACCT [a] | ユーザースペースアカウントの追加が異常終了するとトリガーされます。 |
ANOM_AMTU_FAIL [a] | Abstract Machine Test ユーティリティー(AMTU)の障害が検出されるとトリガーされます。 |
ANOM_CRYPTO_FAIL [a] | 暗号化システムの障害が検出されるとトリガーされます。 |
ANOM_DEL_ACCT [a] | ユーザースペースアカウントの削除が異常終了するとトリガーされます。 |
ANOM_EXEC [a] | ファイルの実行が異常終了するとトリガーされます。 |
ANOM_LOGIN_ACCT [a] | アカウントログインの試行が異常終了するとトリガーされます。 |
ANOM_LOGIN_FAILURES [a] | 失敗したログイン試行の制限に達するとトリガーされます。 |
ANOM_LOGIN_LOCATION [a] | 禁止されている場所からログインを試みるとトリガーされます。 |
ANOM_LOGIN_SESSIONS [a] | ログインの試行が同時セッションの最大量に達するとトリガーされます。 |
ANOM_LOGIN_TIME [a] | による無効化時に、ログイン試行が 1 回行われるとトリガーされます(例: pam_time )。 |
ANOM_MAX_DAC [a] | Discretionary Access Control(DAC)の障害の最大量に達するとトリガーされます。 |
ANOM_MAX_MAC [a] | Mandatory Access Control(MAC)の最大失敗量に達するとトリガーされます。 |
ANOM_MK_EXEC [a] | ファイルの実行後にトリガーされます。 |
ANOM_MOD_ACCT [a] | ユーザー空間アカウントの変更が異常終了するとトリガーされます。 |
ANOM_PROMISCUOUS [a] | デバイスがプロミスキャスモードを有効または無効にするとトリガーされます。 |
ANOM_RBAC_FAIL [a] | ロールベースアクセス制御(RBAC)の自己テスト失敗が検出されるとトリガーされます。 |
ANOM_RBAC_INTEGRITY_FAIL [a] | ロールベースアクセス制御(RBAC)ファイルの整合性テストの失敗が検出されるとトリガーされます。 |
ANOM_ROOT_TRANS [a] | ユーザーが root になるとトリガーされます。 |
AVC | SELinux パーミッションチェックの記録をトリガーされました。 |
AVC_PATH | SELinux パーミッションチェックの発生時に dentry と vfsmount のペアを記録するためにトリガーされます。 |
BPRM_FCAPS | ユーザーがファイルシステム機能でプログラムを実行するとトリガーされます。 |
CAPSET | プロセスベースの機能の変更を記録します。 |
CHGRP_ID | ユーザー名グループ ID が変更されるとトリガーされます。 |
CHUSER_ID | ユーザー空間のユーザー ID が変更された場合にトリガーされます。 |
CONFIG_CHANGE | Audit システム設定が変更されたときにトリガーされます。 |
CRED_ACQ | ユーザーがユーザー空間の認証情報を取得するとトリガーされます。 |
CRED_DISP | ユーザーがユーザー空間の認証情報を破棄するとトリガーされます。 |
CRED_REFR | ユーザーがユーザー空間の認証情報を更新するとトリガーされます。 |
CRYPTO_FAILURE_USER | 暗号化を復号化、暗号化、またはランダム化できない場合にトリガーされます。 |
CRYPTO_KEY_USER | 暗号化に使用される暗号鍵 ID を記録するためにトリガーされます。 |
CRYPTO_LOGIN | 暗号化担当者のログイン試行が検出されるとトリガーされます。 |
CRYPTO_LOGOUT | 暗号担当者のログアウトの試行が検出されるとトリガーされます。 |
CRYPTO_PARAM_CHANGE_USER | 暗号化パラメーターの変更が検出されるとトリガーされます。 |
CRYPTO_REPLAY_USER | 再生攻撃が検出されるとトリガーされます。 |
CRYPTO_SESSION | TLS セッション確立中に設定したパラメーターを記録するためにトリガーされます。 |
CRYPTO_TEST_USER | FIPS-140 標準規格に必要な暗号化テスト結果を記録するためにトリガーされました。 |
CWD | 現在の作業ディレクトリーを記録するためにトリガーされます。 |
DAC_CHECK | DAC のチェック結果を記録するためにトリガーされました。 |
DAEMON_ABORT | エラーによりデーモンが停止したときにトリガーされます。 |
DAEMON_ACCEPT | auditd デーモンがリモート接続を受け入れるとトリガーされます。 |
DAEMON_CLOSE | auditd デーモンがリモート接続を閉じるとトリガーされました。 |
DAEMON_CONFIG | デーモン設定の変更が検出されるとトリガーされます。 |
DAEMON_END | デーモンが正常に停止するとトリガーされます。 |
DAEMON_RESUME | auditd デーモンがログを再開したときにトリガーされます。 |
DAEMON_ROTATE | auditd デーモンが Audit ログファイルをローテーションする際にトリガーされます。 |
DAEMON_START | auditd デーモンが起動するとトリガーされます。 |
DEL_GROUP | ユーザーグループが削除されるとトリガー |
DEL_USER | ユーザー空間ユーザーが削除されるとトリガー |
DEV_ALLOC | デバイスの割り当て時にトリガーされます。 |
DEV_DEALLOC | デバイスの割り当てが解除されるとトリガーされます。 |
EOE | マルチレコードイベントの最後を記録するためにトリガーされます。 |
EXECVE | execve(2) システムコールの引数を記録するためにトリガーされました。 |
FD_PAIR | システムコールの パイプ およびソケットペアの使用を記録するために トリガー されます。 |
FS_RELABEL | ファイルシステムの再ラベル操作が検出されるとトリガーされます。 |
GRP_AUTH | グループパスワードを使用してユーザー空間グループに対する認証を行うとトリガーされます。 |
INTEGRITY_DATA [b] | カーネルにより実行されるデータ整合性検証イベントを記録するためにトリガーされます。 |
INTEGRITY_HASH [b] | カーネルが実行するハッシュタイプの整合性検証イベントを記録するためにトリガーされます。 |
INTEGRITY_METADATA [b] | カーネルにより実行されるメタデータ整合性の検証イベントを記録するためにトリガーされます。 |
INTEGRITY_PCR [b] | PCR(Platform Configuration Register)の無効化メッセージを記録するためにトリガーされます。 |
INTEGRITY_RULE [b] | ポリシールールを記録するためにトリガーされました。 |
INTEGRITY_STATUS [b] | トリガーされ、整合性の検証のステータスを記録します。 |
IPC | システムコールによって参照される Inter-Process Communication オブジェクトに関する情報を記録するためにトリガーされます。 |
IPC_SET_PERM | によって設定された新規値に関する情報を記録するためにトリガーされます。 IPC_SET IPC オブジェクトの制御操作。 |
KERNEL | Audit システムの初期化を記録するためにトリガーされます。 |
KERNEL_OTHER | サードパーティーカーネルモジュールからの情報を記録するためにトリガーされます。 |
LABEL_LEVEL_CHANGE | オブジェクトのレベルラベルが変更されるとトリガーされます。 |
LABEL_OVERRIDE | 管理者がオブジェクトのレベルラベルを上書きするとトリガーされます。 |
LOGIN | ユーザーがシステムにアクセスする際に、関連するログイン情報を記録するためにトリガーされます。 |
MAC_CIPSOV4_ADD | Commercial Internet Protocol Security Option(CIPSO)ユーザーが新しい Domain of Interpretation(DOI)を追加するとトリガーされます。DOI の追加は、NetLabel が提供するカーネルのパケットラベル機能の一部です。 |
MAC_CIPSOV4_DEL | CIPSO ユーザーが既存の DOI を削除したときにトリガーされます。DOI の追加は、NetLabel が提供するカーネルのパケットラベル機能の一部です。 |
MAC_CONFIG_CHANGE | SELinux のブール値が変更されたときにトリガーされます。 |
MAC_IPSEC_EVENT | IPsec イベントに関する情報を記録するためにトリガーされます。検出されると、または IPsec 設定の変更時にトリガーされます。 |
MAC_MAP_ADD | 新しい Linux Security Module(LSM)ドメインマッピングが追加されるとトリガーされます。LSM ドメインマッピングは、NetLabel が提供するカーネルのパケットラベル機能の一部です。 |
MAC_MAP_DEL | 既存の LSM ドメインマッピングが追加されるとトリガーされます。LSM ドメインマッピングは、NetLabel が提供するカーネルのパケットラベル機能の一部です。 |
MAC_POLICY_LOAD | SELinux ポリシーファイルが読み込まれるとトリガーされます。 |
MAC_STATUS | SELinux モード(強制、Permissive、オフ)が変更されたときにトリガーされます。 |
MAC_UNLBL_ALLOW | NetLabel が提供するカーネルのパケットラベル機能を使用する際に、ラベルが解除されたトラフィックが許可されるとトリガーされます。 |
MAC_UNLBL_STCADD | NetLabel が提供するカーネルのパケットラベル機能を使用すると、静的ラベルが追加されるとトリガーされます。 |
MAC_UNLBL_STCDEL | NetLabel が提供するカーネルのパケットラベル機能を使用する際に静的ラベルが削除されるとトリガーされます。 |
MMAP | mmap(2) システムコールのファイル記述子およびフラグを記録するためにトリガーされました。 |
MQ_GETSETATTR | mq_getattr(3)および メッセージキュー属性を記録するためにトリガーされます。 |
MQ_NOTIFY | mq_notify(3) システムコールの引数を記録するためにトリガーされました。 |
MQ_OPEN | mq_open(3) システムコールの引数を記録するためにトリガーされました。 |
MQ_SENDRECV | mq_send(3)および システムコールの引数を記録するためにトリガーされました。 |
NETFILTER_CFG | Netfilter チェーンの変更が検出されるとトリガーされます。 |
NETFILTER_PKT | Netfilter チェーンを通過するパケットを記録するためにトリガーされました。 |
OBJ_PID | シグナルを送信するプロセスに関する情報を記録するためにトリガーされます。 |
PATH | ファイル名のパス情報を記録するためにトリガーされました。 |
RESP_ACCT_LOCK [c] | ユーザーアカウントがロックされるとトリガーされます。 |
RESP_ACCT_LOCK_TIMED [c] | 指定された期間ユーザーアカウントがロックされるとトリガーされます。 |
RESP_ACCT_REMOTE [c] | リモートセッションからユーザーアカウントがロックされるとトリガーされます。 |
RESP_ACCT_UNLOCK_TIMED [c] | 設定した期間後にユーザーアカウントのロックが解除されるとトリガーされます。 |
RESP_ALERT [c] | アラートメールが送信されるとトリガーされます。 |
RESP_ANOMALY [c] | 突然動作がされなかった場合にトリガーされます。 |
RESP_EXEC [c] | 侵入検出プログラムが、プログラムの実行から生じる脅威に応答するとトリガーされます。 |
RESP_HALT [c] | システムのシャットダウン時にトリガーされます。 |
RESP_KILL_PROC [c] | プロセスが終了したときにトリガーされます。 |
RESP_SEBOOL [c] | SELinux のブール値が設定されているとトリガーされます。 |
RESP_SINGLE [c] | システムがシングルユーザーモードに置かれるとトリガーされます。 |
RESP_TERM_ACCESS [c] | セッションの終了時にトリガーされます。 |
RESP_TERM_LOCK [c] | 端末がロックされるとトリガーされます。 |
ROLE_ASSIGN | 管理者が SELinux ロールにユーザーを割り当てる際にトリガーされます。 |
ROLE_MODIFY | 管理者が SELinux ロールを変更する際にトリガーされます。 |
ROLE_REMOVE | 管理者が SELinux ロールからユーザーを削除したときにトリガーされます。 |
SELINUX_ERR | 内部 SELinux エラーが検出されるとトリガーされます。 |
SERVICE_START | サービスの起動時にトリガーされます。 |
SERVICE_STOP | サービスが停止したときにトリガーされます。 |
SOCKADDR | ソケットアドレスを記録するためにトリガーされました。 |
SOCKETCALL | sys_socketcall システムコールの引数を記録するためにトリガーされました(複数のソケット関連のシステムコールに使用)。 |
SYSCALL | カーネルへのシステムコールを記録するためにトリガーされます。 |
SYSTEM_BOOT | システムの起動時にトリガーされます。 |
SYSTEM_RUNLEVEL | システムのランレベルが変更されたときにトリガーされます。 |
SYSTEM_SHUTDOWN | システムのシャットダウン時にトリガーされます。 |
TEST | テストメッセージの成功値を記録するためにトリガーされます。 |
TRUSTED_APP | このタイプの記録は、監査が必要なサードパーティーアプリケーションで使用できます。 |
TTY | TTY 入力が管理プロセスに送信されたときにトリガーされました。 |
USER_ACCT | ユーザー空間ユーザーアカウントが変更されるとトリガーされます。 |
USER_AUTH | ユーザー空間認証の検出時にトリガーされます。 |
USER_AVC | ユーザー空間 AVC メッセージの生成時にトリガーされます。 |
USER_CHAUTHTOK | ユーザーアカウント属性が変更されるとトリガーされます。 |
USER_CMD | ユーザー空間シェルコマンドの実行時にトリガーされます。 |
USER_END | ユーザースペースセッションの終了時にトリガーされます。 |
USER_ERR | ユーザーアカウントの状態エラーが検出されるとトリガーされます。 |
USER_LABELED_EXPORT | オブジェクトが SELinux ラベルでエクスポートされるとトリガーされます。 |
USER_LOGIN | ユーザーのログイン時にトリガーされます。 |
USER_LOGOUT | ユーザーのログアウト時にトリガーされます。 |
USER_MAC_POLICY_LOAD | ユーザースペースデーモンが SELinux ポリシーを読み込む際にトリガーされます。 |
USER_MGMT | ユーザー空間管理データを記録するためにトリガーされます。 |
USER_ROLE_CHANGE | ユーザーの SELinux ロールが変更されたときにトリガーされます。 |
USER_SELINUX_ERR | ユーザー空間の SELinux エラーが検出されるとトリガーされます。 |
USER_START | ユーザー空間セッションの開始時にトリガーされます。 |
USER_TTY | TTY 入力に関する説明メッセージがユーザースペースから送信されるとトリガーされます。 |
USER_UNLABELED_EXPORT | SELinux ラベルなしでオブジェクトがエクスポートされるとトリガーされます。 |
USYS_CONFIG | ユーザー空間のシステム設定の変更が検出されるとトリガーされます。 |
VIRT_CONTROL | 仮想マシンの起動、一時停止、または停止時にトリガーされます。 |
VIRT_MACHINE_ID | ラベルのバインディングを仮想マシンに記録するためにトリガーされます。 |
VIRT_RESOURCE | 仮想マシンのリソース割り当てを記録するためにトリガーされます。 |
[a]
で始まる Audit イベントタイプ ANOM はすべて、侵入検出プログラムが処理することを目的としています。
[b]
このイベントタイプは、TPM(Trusted Platform Module)チップで最適に機能する Integrity Measurement Architecture(IMA)に関連します。
[c]
で始まる Audit イベントタイプ RESP はすべて、システム上の悪意のあるアクティビティーを検出した場合に侵入検出システムの応答を対象としています。
|