付録B Audit システムのリファレンス

B.1. 監査イベントフィールド

表B.1「イベントフィールド」 現在サポートしている Audit イベントフィールドをすべて表示します。イベントフィールドは、Audit ログファイルの等号の前にある値です。

表B.1 イベントフィールド

イベントフィールド 説明
a0, a1, a2, a316 進数表記でエンコードされた、システムコールの最初の 4 つの引数を記録します。
acctユーザーのアカウント名を記録します。
addrIPv4 アドレスまたは IPv6 アドレスを記録します。このフィールドは、通常、に従います。 hostname フィールドで、ホスト名が解決するアドレスが含まれます。
archシステムの CPU アーキテクチャーに関する情報を記録します。16 進数表記でエンコードされます。
auidAudit ユーザー ID を記録します。この ID は、ログイン時にユーザーに割り当てられ、ユーザーのアイデンティティーが変更される場合でも(たとえば、でユーザーアカウントを切り替えて su - john)すべてのプロセスによって継承されます。
capability特定の Linux 機能の設定に使用されたビット数を記録します。Linux 機能の詳細は、を参照してください。 機能(7) の man ページ。
cap_fi継承されたファイルシステムベースの機能の設定に関連するデータを記録します。
cap_fp許可されたファイルシステムベースの機能の設定に関連するデータを記録します。
cap_pe効果的なプロセスベースの機能の設定に関連するデータを記録します。
cap_pi継承されたプロセスベースの機能の設定に関連するデータを記録します。
cap_pp許可されたプロセスベースの機能の設定に関連するデータを記録します。
cgroupAudit イベントの生成時にプロセス cgroup が含まれるへのパスを記録します。
cmd実行されたコマンドライン全体を記録します。これは、たとえば、シェルインタープリター /bin/bash として、exe フィールドが記録するシェルインタープリターの場合や、cmd フィールドは実行される残りのコマンドラインを記録し helloworld.sh --helpます。
comm実行したコマンドを記録します。これは、たとえば、シェルインタープリター /bin/bash として、exe フィールドが記録するシェルインタープリターの場合や、comm フィールドは実行されるスクリプトの名前を記録し helloworld.shます。
cwdシステムコールが開始したディレクトリーへのパスを記録します。
dataTTY レコードに関連付けられたデータを記録します。
devイベントに記録されたファイルまたはディレクトリーが含まれるデバイスのマイナー ID とメジャー ID を記録します。
devmajorメジャーデバイス ID を記録します。
devminorマイナーデバイス ID を記録します。
egid解析しているプロセスを開始したユーザーの実効グループ ID を記録します。
euid解析しているプロセスを開始したユーザーの実効ユーザー ID を記録します。
exe解析しているプロセスを開始するために使用した実行可能ファイルへのパスを記録します。
exitシステムコールが返した終了コードを記録します。この値はシステムコールによって異なります。以下のコマンドを使用すると、この値を人間が判読可能なものに変換できます。 ausearch --interpret --exit exit_code
familyIPv4 または IPv6 のいずれかで使用されたアドレスプロトコルのタイプを記録します。
filetypeファイルのタイプを記録します。
flagsファイルシステムの名前フラグを記録します。
fsgid解析しているプロセスを開始したユーザーのファイルシステムグループ ID を記録します。
fsuid解析しているプロセスを開始したユーザーのファイルシステムユーザー ID を記録します。
gidグループ ID を記録します。
hostnameホスト名を記録します。
icmptype 受信したインターネット制御メッセージプロトコル(ICMP)パッケージのタイプを記録します。このフィールドを含む監査メッセージは、iptables により生成されます。
id変更されたアカウントのユーザー ID を記録します。
inodeAudit イベントに記録されたファイルまたはディレクトリーに関連付けられた inode 番号を記録します。
inode_gidinode の所有者のグループ ID を記録します。
inode_uidinode の所有者のユーザー ID を記録します。
itemsこのレコードに接続されているパスレコードの数を記録します。
keyAudit ログで特定のイベントを生成したルールに関連付けられたユーザー定義の文字列を記録します。
listAudit ルールリスト ID を記録します。既知の ID の一覧は以下のとおりです。
  • 0 — user
  • 1 — task
  • 4 — exit
  • 5 — exclude
modeファイルまたはディレクトリーのパーミッションを、数字表記でエンコードします。
msgレコードのタイムスタンプと一意の ID、またはカーネルまたはユーザー空間アプリケーションが提供するさまざまなイベント固有の <name>=<value> ペアを記録します。
msgtypeユーザーベースの AVC 拒否が発生した場合に返されるメッセージタイプを記録します。メッセージタイプは D-Bus によって決定されます。
nameシステムコールに引数として渡されたファイルまたはディレクトリーの完全パスを記録します。
new-disk仮想マシンに割り当てられた新規ディスクリソースの名前を記録します。
new-mem仮想マシンに割り当てられた新規メモリーリソースの量を記録します。
new-vcpu仮想マシンに割り当てられた新規仮想 CPU リソースの数を記録します。
new-net仮想マシンに割り当てられた新規ネットワークインターフェースリソースの MAC アドレスを記録します。
new_gidユーザーに割り当てられているグループ ID を記録します。
oauid (を使用などではなく su)システムにログインしているユーザーのユーザー ID を記録し、ターゲットプロセスを開始している。このフィールドはタイプのレコードのみに限定されます。 OBJ_PID.
ocommターゲットプロセスを開始するために使用したコマンドを記録します。このフィールドはタイプのレコードのみに限定されます。 OBJ_PID.
opidターゲットプロセスのプロセス ID を記録します。このフィールドはタイプのレコードのみに限定されます。 OBJ_PID.
osesターゲットプロセスのセッション ID を記録します。このフィールドはタイプのレコードのみに限定されます。 OBJ_PID.
ouidターゲットプロセスの実際のユーザー ID を記録します。
objオブジェクトの SELinux コンテキストを記録します。オブジェクトは、ファイル、ディレクトリー、ソケット、またはサブジェクトのアクションを受信するものになります。
obj_gidオブジェクトのグループ ID を記録します。
obj_lev_highオブジェクトの SELinux レベルの高いものを記録します。
obj_lev_lowオブジェクトの低い SELinux レベルを記録します。
obj_roleオブジェクトの SELinux ロールを記録します。
obj_uidオブジェクトの UID を記録します。
obj_userオブジェクトに関連付けられたユーザーを記録します。
ogidオブジェクトの所有者のグループ ID を記録します。
old-disk新規ディスクリソースが仮想マシンに割り当てられている場合に、古いディスクリソースの名前を記録します。
old-mem新しいメモリーが仮想マシンに割り当てられている場合の古いメモリーリソースの量を記録します。
old-vcpu新規仮想 CPU が仮想マシンに割り当てられている場合の古い仮想 CPU リソースの数を記録します。
old-net新しいネットワークインターフェースが仮想マシンに割り当てられている場合に、古いネットワークインターフェースリソースの MAC アドレスを記録します。
old_promネットワーク promiscuity フラグの以前の値を記録します。
ouidターゲットプロセスを開始したユーザーの実際のユーザー ID を記録します。
pathAVC 関連の Audit イベントの場合に、システムコールに渡されたファイルまたはディレクトリーの完全パスを記録します。
permイベントの生成に使用したファイルパーミッション(読み取り、書き込み、実行、または属性の変更)を記録します。
pid
The pid フィールドセマンティクスは、このフィールドの値の起点によって異なります。
ユーザー空間から生成されるフィールドでは、このフィールドはプロセス ID を保持します。
カーネルによって生成されるフィールドでは、このフィールドはスレッド ID を保持します。スレッド ID は、シングルスレッドプロセスのプロセス ID と同じです。このスレッド ID の値は、の値とは異なることに注意してください。 pthread_t ユーザー空間で使用される ID。詳細はを参照してください。 gettid(2) の man ページ。
ppid親プロセス ID(PID)を記録します。
promネットワーク promiscuity フラグを記録します。
proto使用されたネットワークプロトコルを記録します。このフィールドは、iptables によって生成される監査イベントに固有のフィールドです。
resAudit イベントを開始した操作の結果を記録します。
resultAudit イベントを開始した操作の結果を記録します。
saddrソケットアドレスを記録します。
sauid送信者の Audit ログインユーザー ID を記録します。カーネルは元のユーザーしか送信していないため、この ID は D-Bus によって提供され auidます。
ses解析しているプロセスが開始したセッションのセッション ID を記録します。
sgid解析しているプロセスを開始したユーザーのセットグループ ID を記録します。
sigプログラムが異常終了させるシグナルの数を記録します。通常、これはシステムの侵入の署名です。
subjサブジェクトの SELinux コンテキストを記録します。サブジェクトは、プロセス、ユーザー、またはオブジェクトの動作のいずれかになります。
subj_clrサブジェクトの SELinux クリアーを記録します。
subj_roleサブジェクトの SELinux ロールを記録します。
subj_senサブジェクトの SELinux の機密性を記録します。
subj_userサブジェクトに関連するユーザーを記録します。
successシステムコールが成功したかどうかを記録します。
suid解析しているプロセスを開始したユーザーのセットユーザー ID を記録します。
syscallカーネルに送信されたシステムコールのタイプを記録します。
terminalターミナル名を記録します(なし /dev/)。
tty制御ターミナルの名前を記録します。この値 (none) は、プロセスに制御ターミナルがない場合に使用されます。
uid解析しているプロセスを開始したユーザーの実際のユーザー ID を記録します。
vmAudit イベントの発信元となる仮想マシンの名前を記録します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。