Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

B.2. 監査レコードタイプ

表B.2「レコードタイプ」 現在サポートしているすべてのタイプの Audit レコードを一覧表示します。イベントタイプは、すべての Audit レコードの最初にある type= フィールドに指定されます。

表B.2 レコードタイプ

イベントタイプ 説明
ADD_GROUPユーザーグループが追加されるとトリガーされます。
ADD_USERユーザー空間ユーザーアカウントが追加されるとトリガーされます。
ANOM_ABEND[a]プロセスが異常終了すると発生します(有効にされている場合はコアダンプの原因となるシグナル)。
ANOM_ACCESS_FS[a]ファイルまたはディレクトリーアクセスが異常終了するとトリガーされます。
ANOM_ADD_ACCT[a]ユーザースペースアカウントの追加が異常終了するとトリガーされます。
ANOM_AMTU_FAIL[a]Abstract Machine Test ユーティリティー(AMTU)の障害が検出されるとトリガーされます。
ANOM_CRYPTO_FAIL[a]暗号化システムの障害が検出されるとトリガーされます。
ANOM_DEL_ACCT[a]ユーザースペースアカウントの削除が異常終了するとトリガーされます。
ANOM_EXEC[a]ファイルの実行が異常終了するとトリガーされます。
ANOM_LOGIN_ACCT[a]アカウントログインの試行が異常終了するとトリガーされます。
ANOM_LOGIN_FAILURES[a]失敗したログイン試行の制限に達するとトリガーされます。
ANOM_LOGIN_LOCATION[a]禁止されている場所からログインを試みるとトリガーされます。
ANOM_LOGIN_SESSIONS[a]ログインの試行が同時セッションの最大量に達するとトリガーされます。
ANOM_LOGIN_TIME[a]による無効化時に、ログイン試行が 1 回行われるとトリガーされます(例: pam_time )。
ANOM_MAX_DAC[a]Discretionary Access Control(DAC)の障害の最大量に達するとトリガーされます。
ANOM_MAX_MAC[a]Mandatory Access Control(MAC)の最大失敗量に達するとトリガーされます。
ANOM_MK_EXEC[a]ファイルの実行後にトリガーされます。
ANOM_MOD_ACCT[a]ユーザー空間アカウントの変更が異常終了するとトリガーされます。
ANOM_PROMISCUOUS[a]デバイスがプロミスキャスモードを有効または無効にするとトリガーされます。
ANOM_RBAC_FAIL[a]ロールベースアクセス制御(RBAC)の自己テスト失敗が検出されるとトリガーされます。
ANOM_RBAC_INTEGRITY_FAIL[a]ロールベースアクセス制御(RBAC)ファイルの整合性テストの失敗が検出されるとトリガーされます。
ANOM_ROOT_TRANS[a]ユーザーが root になるとトリガーされます。
AVCSELinux パーミッションチェックの記録をトリガーされました。
AVC_PATHSELinux パーミッションチェックの発生時に dentryvfsmount のペアを記録するためにトリガーされます。
BPRM_FCAPSユーザーがファイルシステム機能でプログラムを実行するとトリガーされます。
CAPSETプロセスベースの機能の変更を記録します。
CHGRP_IDユーザー名グループ ID が変更されるとトリガーされます。
CHUSER_IDユーザー空間のユーザー ID が変更された場合にトリガーされます。
CONFIG_CHANGEAudit システム設定が変更されたときにトリガーされます。
CRED_ACQユーザーがユーザー空間の認証情報を取得するとトリガーされます。
CRED_DISPユーザーがユーザー空間の認証情報を破棄するとトリガーされます。
CRED_REFRユーザーがユーザー空間の認証情報を更新するとトリガーされます。
CRYPTO_FAILURE_USER暗号化を復号化、暗号化、またはランダム化できない場合にトリガーされます。
CRYPTO_KEY_USER暗号化に使用される暗号鍵 ID を記録するためにトリガーされます。
CRYPTO_LOGIN暗号化担当者のログイン試行が検出されるとトリガーされます。
CRYPTO_LOGOUT暗号担当者のログアウトの試行が検出されるとトリガーされます。
CRYPTO_PARAM_CHANGE_USER暗号化パラメーターの変更が検出されるとトリガーされます。
CRYPTO_REPLAY_USER再生攻撃が検出されるとトリガーされます。
CRYPTO_SESSIONTLS セッション確立中に設定したパラメーターを記録するためにトリガーされます。
CRYPTO_TEST_USERFIPS-140 標準規格に必要な暗号化テスト結果を記録するためにトリガーされました。
CWD現在の作業ディレクトリーを記録するためにトリガーされます。
DAC_CHECKDAC のチェック結果を記録するためにトリガーされました。
DAEMON_ABORTエラーによりデーモンが停止したときにトリガーされます。
DAEMON_ACCEPTauditd デーモンがリモート接続を受け入れるとトリガーされます。
DAEMON_CLOSEauditd デーモンがリモート接続を閉じるとトリガーされました。
DAEMON_CONFIGデーモン設定の変更が検出されるとトリガーされます。
DAEMON_ENDデーモンが正常に停止するとトリガーされます。
DAEMON_RESUMEauditd デーモンがログを再開したときにトリガーされます。
DAEMON_ROTATEauditd デーモンが Audit ログファイルをローテーションする際にトリガーされます。
DAEMON_STARTauditd デーモンが起動するとトリガーされます。
DEL_GROUPユーザーグループが削除されるとトリガー
DEL_USERユーザー空間ユーザーが削除されるとトリガー
DEV_ALLOCデバイスの割り当て時にトリガーされます。
DEV_DEALLOCデバイスの割り当てが解除されるとトリガーされます。
EOEマルチレコードイベントの最後を記録するためにトリガーされます。
EXECVEexecve(2) システムコールの引数を記録するためにトリガーされました。
FD_PAIRシステムコールの パイプ およびソケットペアの使用を記録するために トリガー されます。
FS_RELABELファイルシステムの再ラベル操作が検出されるとトリガーされます。
GRP_AUTHグループパスワードを使用してユーザー空間グループに対する認証を行うとトリガーされます。
INTEGRITY_DATA[b]カーネルにより実行されるデータ整合性検証イベントを記録するためにトリガーされます。
INTEGRITY_HASH[b]カーネルが実行するハッシュタイプの整合性検証イベントを記録するためにトリガーされます。
INTEGRITY_METADATA[b]カーネルにより実行されるメタデータ整合性の検証イベントを記録するためにトリガーされます。
INTEGRITY_PCR[b]PCR(Platform Configuration Register)の無効化メッセージを記録するためにトリガーされます。
INTEGRITY_RULE[b]ポリシールールを記録するためにトリガーされました。
INTEGRITY_STATUS[b]トリガーされ、整合性の検証のステータスを記録します。
IPCシステムコールによって参照される Inter-Process Communication オブジェクトに関する情報を記録するためにトリガーされます。
IPC_SET_PERMによって設定された新規値に関する情報を記録するためにトリガーされます。 IPC_SET IPC オブジェクトの制御操作。
KERNELAudit システムの初期化を記録するためにトリガーされます。
KERNEL_OTHERサードパーティーカーネルモジュールからの情報を記録するためにトリガーされます。
LABEL_LEVEL_CHANGEオブジェクトのレベルラベルが変更されるとトリガーされます。
LABEL_OVERRIDE管理者がオブジェクトのレベルラベルを上書きするとトリガーされます。
LOGINユーザーがシステムにアクセスする際に、関連するログイン情報を記録するためにトリガーされます。
MAC_CIPSOV4_ADDCommercial Internet Protocol Security Option(CIPSO)ユーザーが新しい Domain of Interpretation(DOI)を追加するとトリガーされます。DOI の追加は、NetLabel が提供するカーネルのパケットラベル機能の一部です。
MAC_CIPSOV4_DELCIPSO ユーザーが既存の DOI を削除したときにトリガーされます。DOI の追加は、NetLabel が提供するカーネルのパケットラベル機能の一部です。
MAC_CONFIG_CHANGESELinux のブール値が変更されたときにトリガーされます。
MAC_IPSEC_EVENTIPsec イベントに関する情報を記録するためにトリガーされます。検出されると、または IPsec 設定の変更時にトリガーされます。
MAC_MAP_ADD新しい Linux Security Module(LSM)ドメインマッピングが追加されるとトリガーされます。LSM ドメインマッピングは、NetLabel が提供するカーネルのパケットラベル機能の一部です。
MAC_MAP_DEL既存の LSM ドメインマッピングが追加されるとトリガーされます。LSM ドメインマッピングは、NetLabel が提供するカーネルのパケットラベル機能の一部です。
MAC_POLICY_LOADSELinux ポリシーファイルが読み込まれるとトリガーされます。
MAC_STATUSSELinux モード(強制、Permissive、オフ)が変更されたときにトリガーされます。
MAC_UNLBL_ALLOWNetLabel が提供するカーネルのパケットラベル機能を使用する際に、ラベルが解除されたトラフィックが許可されるとトリガーされます。
MAC_UNLBL_STCADDNetLabel が提供するカーネルのパケットラベル機能を使用すると、静的ラベルが追加されるとトリガーされます。
MAC_UNLBL_STCDELNetLabel が提供するカーネルのパケットラベル機能を使用する際に静的ラベルが削除されるとトリガーされます。
MMAPmmap(2) システムコールのファイル記述子およびフラグを記録するためにトリガーされました。
MQ_GETSETATTRmq_getattr(3)および mq_setattr(3) メッセージキュー属性を記録するためにトリガーされます。
MQ_NOTIFYmq_notify(3) システムコールの引数を記録するためにトリガーされました。
MQ_OPENmq_open(3) システムコールの引数を記録するためにトリガーされました。
MQ_SENDRECVmq_send(3)および mq_receive(3) システムコールの引数を記録するためにトリガーされました。
NETFILTER_CFGNetfilter チェーンの変更が検出されるとトリガーされます。
NETFILTER_PKTNetfilter チェーンを通過するパケットを記録するためにトリガーされました。
OBJ_PIDシグナルを送信するプロセスに関する情報を記録するためにトリガーされます。
PATHファイル名のパス情報を記録するためにトリガーされました。
RESP_ACCT_LOCK[c]ユーザーアカウントがロックされるとトリガーされます。
RESP_ACCT_LOCK_TIMED[c]指定された期間ユーザーアカウントがロックされるとトリガーされます。
RESP_ACCT_REMOTE[c]リモートセッションからユーザーアカウントがロックされるとトリガーされます。
RESP_ACCT_UNLOCK_TIMED[c]設定した期間後にユーザーアカウントのロックが解除されるとトリガーされます。
RESP_ALERT[c]アラートメールが送信されるとトリガーされます。
RESP_ANOMALY[c]突然動作がされなかった場合にトリガーされます。
RESP_EXEC[c]侵入検出プログラムが、プログラムの実行から生じる脅威に応答するとトリガーされます。
RESP_HALT[c]システムのシャットダウン時にトリガーされます。
RESP_KILL_PROC[c]プロセスが終了したときにトリガーされます。
RESP_SEBOOL[c]SELinux のブール値が設定されているとトリガーされます。
RESP_SINGLE[c]システムがシングルユーザーモードに置かれるとトリガーされます。
RESP_TERM_ACCESS[c]セッションの終了時にトリガーされます。
RESP_TERM_LOCK[c]端末がロックされるとトリガーされます。
ROLE_ASSIGN管理者が SELinux ロールにユーザーを割り当てる際にトリガーされます。
ROLE_MODIFY管理者が SELinux ロールを変更する際にトリガーされます。
ROLE_REMOVE管理者が SELinux ロールからユーザーを削除したときにトリガーされます。
SELINUX_ERR内部 SELinux エラーが検出されるとトリガーされます。
SERVICE_STARTサービスの起動時にトリガーされます。
SERVICE_STOPサービスが停止したときにトリガーされます。
SOCKADDRソケットアドレスを記録するためにトリガーされました。
SOCKETCALLsys_socketcall システムコールの引数を記録するためにトリガーされました(複数のソケット関連のシステムコールに使用)。
SYSCALLカーネルへのシステムコールを記録するためにトリガーされます。
SYSTEM_BOOTシステムの起動時にトリガーされます。
SYSTEM_RUNLEVELシステムのランレベルが変更されたときにトリガーされます。
SYSTEM_SHUTDOWNシステムのシャットダウン時にトリガーされます。
TESTテストメッセージの成功値を記録するためにトリガーされます。
TRUSTED_APPこのタイプの記録は、監査が必要なサードパーティーアプリケーションで使用できます。
TTYTTY 入力が管理プロセスに送信されたときにトリガーされました。
USER_ACCTユーザー空間ユーザーアカウントが変更されるとトリガーされます。
USER_AUTHユーザー空間認証の検出時にトリガーされます。
USER_AVCユーザー空間 AVC メッセージの生成時にトリガーされます。
USER_CHAUTHTOKユーザーアカウント属性が変更されるとトリガーされます。
USER_CMDユーザー空間シェルコマンドの実行時にトリガーされます。
USER_ENDユーザースペースセッションの終了時にトリガーされます。
USER_ERRユーザーアカウントの状態エラーが検出されるとトリガーされます。
USER_LABELED_EXPORTオブジェクトが SELinux ラベルでエクスポートされるとトリガーされます。
USER_LOGINユーザーのログイン時にトリガーされます。
USER_LOGOUTユーザーのログアウト時にトリガーされます。
USER_MAC_POLICY_LOADユーザースペースデーモンが SELinux ポリシーを読み込む際にトリガーされます。
USER_MGMTユーザー空間管理データを記録するためにトリガーされます。
USER_ROLE_CHANGEユーザーの SELinux ロールが変更されたときにトリガーされます。
USER_SELINUX_ERRユーザー空間の SELinux エラーが検出されるとトリガーされます。
USER_STARTユーザー空間セッションの開始時にトリガーされます。
USER_TTYTTY 入力に関する説明メッセージがユーザースペースから送信されるとトリガーされます。
USER_UNLABELED_EXPORTSELinux ラベルなしでオブジェクトがエクスポートされるとトリガーされます。
USYS_CONFIGユーザー空間のシステム設定の変更が検出されるとトリガーされます。
VIRT_CONTROL仮想マシンの起動、一時停止、または停止時にトリガーされます。
VIRT_MACHINE_IDラベルのバインディングを仮想マシンに記録するためにトリガーされます。
VIRT_RESOURCE仮想マシンのリソース割り当てを記録するためにトリガーされます。
[a] で始まる Audit イベントタイプ ANOM はすべて、侵入検出プログラムが処理することを目的としています。
[b] このイベントタイプは、TPM(Trusted Platform Module)チップで最適に機能する Integrity Measurement Architecture(IMA)に関連します。
[c] で始まる Audit イベントタイプ RESP はすべて、システム上の悪意のあるアクティビティーを検出した場合に侵入検出システムの応答を対象としています。