付録B Audit システムのリファレンス

B.1. Audit イベントフィールド

表B.1「イベントフィールド」 では、現在サポートされている Audit イベントフィールドを一覧表示しています。イベントフィールドとは、Audit ログファイルで等号記号の前にある値です。

表B.1 イベントフィールド

イベントフィールド説明
a0a1a2a3システムコールの最初の 4 つの引数を十六進法で記録します。
acctユーザーのアカウント名を記録します。
addrIPv4 または IPv6 アドレスを記録します。このフィールドは通常、hostname フィールドの後に来て、ホスト名が解決するアドレスを含みます。
archシステムの CPU アーキテクチャーについての情報を十六進法にエンコードして記録します。
auidAudit ユーザー ID を記録します。この ID は、ログイン時にユーザーに割り当てられ、ユーザーの ID が変更された後でもすべてのプロセスに引き継がれます (たとえば、su - john コマンドでユーザーアカウントを切り替えた場合)。
capabilityRecords the number of bits that were used to set a particular Linux capability. For more information on Linux capabilities, refer to the capabilities(7) man page.
cap_fi引き継いだファイルのシステムベースの機能設定に関連したデータを記録します。
cap_fp許可されたファイルのシステムベースの機能設定に関連したデータを記録します。
cap_pe効果的なプロセスベースの機能設定に関連したデータを記録します。
cap_pi継承されたプロセスベースの機能設定に関連したデータを記録します。
cap_pp許可されたプロセスベースの機能設定に関連したデータを記録します。
cgroupAudit イベント生成時のプロセスが含まれる cgroup へのパスを記録します。
cmd実行されたコマンドライン全体を記録します。これは、exe フィールドがたとえば /bin/bash を記録するようなシェルインタープリターの場合に便利です。シェルインタープリターと cmd フィールドは、helloworld.sh --help のような実行されたコマンドラインの残りの部分を記録するからです。
comm実行されたコマンドを記録します。これは、exe フィールドがたとえば /bin/bash を記録するようなシェルインタープリターの場合に便利です。シェルインタープリターと comm フィールドは、helloworld.sh のような実行されたスクリプト名を記録するからです。
cwdシステムコールが開始されたディレクトリーへのパスを記録します。
dataTTY 記録に関連するデータを記録します。
devイベントで記録されたファイルまたはディレクトリーを含むデバイスのマイナーおよびメジャー ID を記録します。
devmajorメジャーデバイス ID を記録します。
devminorマイナーデバイス ID を記録します。
egid分析されているプロセスを開始したユーザーの実効グループ ID を記録します。
euid分析されているプロセスを開始したユーザーの実効ユーザー ID を記録します。
exe分析されているプロセスを開始するために使用された実行可能ファイルへのパスを記録します。
exitシステムコールが返した終了コードを記録します。この値は、システムコールによって異なります。以下のコマンドを使うと、この値をヒューマンリーダブルなものに変換できます。ausearch --interpret --exit exit_code
familyIPv4 または IPv6 の使用されたアドレスプロトコルのタイプを記録します。
filetypeファイルのタイプを記録します。
flagsファイルシステム名のフラグを記録します。
fsgid分析されているプロセスを開始したユーザーのファイルシステムグループ ID を記録します。
fsuid分析されているプロセスを開始したユーザーのファイルシステムユーザー ID を記録します。
gidグループ ID を記録します。
hostnameホスト名を記録します。
icmptype受信した Internet Control Message Protocol (ICMP) パッケージのタイプを記録します。このフィールドを含む Audit メッセージは通常、iptables が生成します。
id変更されたアカウントのユーザー ID を記録します。
inodeAudit イベントで記録されたファイルまたはディレクトリーに関連する inode 番号を記録します。
inode_gidinode の所有者のグループ ID を記録します。
inode_uidinode の所有者のユーザー ID を記録します。
itemsこの記録にアタッチされたパス記録の数を記録します。
keyAudit ログで特定のイベントを生成したルールに関連付けられているユーザー定義の文字列を記録します。
listAudit ルールリストの ID を記録します。以下が既知の ID リストになります。
  • 0 — user
  • 1 — task
  • 4 — exit
  • 5 — exclude
modeファイルまたはディレクトリーのパーミッションを数字表記にエンコードして記録します。
msg記録のタイムスタンプと一意の ID、または各種のイベント固有の <name>=<value> ペアを記録します。これらは、カーネルもしくはユーザースペースアプリケーションが提供します。
msgtypeユーザーベースの AVC 拒否の場合に返されたメッセージのタイプを記録します。このメッセージタイプは、D-Bus で決定されます。
nameシステムコールに引数として渡されたファイルまたはディレクトリーへの完全パスを記録します。
new-disk仮想マシンに割り当てられた新規ディスクリソースの名前を記録します。
new-mem仮想マシンに割り当てられた新規メモリーリソースの容量を記録します。
new-vcpu仮想マシンに割り当てられた新規の仮想 CPU リソースの数を記録します。
new-net仮想マシンに割り当てられた新規ネットワークインターフェースのリソースの MAC アドレスを記録します。
new_gidユーザーに割り当てられたグループ ID を記録します。
oauidシステムにアクセスするためにログインし (su を使用してのログインなどではなく)、ターゲットプロセスを開始したユーザーのユーザー ID を記録します。このフィールドは、タイプ OBJ_PID の記録専用になります。
ocommターゲットプロセスの開始に使用されたコマンドを記録します。このフィールドは、タイプ OBJ_PID の記録専用になります。
opidターゲットプロセスのプロセス ID を記録します。このフィールドは、タイプ OBJ_PID の記録専用になります。
osesターゲットプロセスのセッション ID を記録します。このフィールドは、タイプ OBJ_PID の記録専用になります。
ouidターゲットプロセスの実際のユーザー ID を記録します。
objオブジェクトの SELinux コンテキストを記録します。オブジェクトは、ファイルやディレクトリー、またはサブジェクトのアクションを受信するものになります。
obj_gidオブジェクトのグループ ID を記録します。
obj_lev_highオブジェクトの高い SELinux レベルを記録します。
obj_lev_lowオブジェクトの低い SELinux レベルを記録します。
obj_roleオブジェクトの SELinux の役割を記録します。
obj_uidオブジェクトの UID を記録します。
obj_userオブジェクトに関連付けられたユーザーを記録します。
ogidオブジェクトの所有者のグループ ID を記録します。
old-disk新規ディスクリソースが仮想マシンに割り当てられた際の古いディスクリソース名を記録します。
old-mem新しいメモリー容量が仮想マシンに割り当てられた際の古いメモリーリソースの容量を記録します。
old-vcpu新規の仮想 CPU が仮想マシンに割り当てられた際の古い仮想 CPU リソースの数を記録します。
old-net新規ネットワークインターフェースが仮想マシンに割り当てられた際の古いネットワークインターフェースリソースの MAC アドレスを記録します。
old_promネットワークの無作為フラグの以前の値を記録します。
ouidターゲットプロセスを開始したユーザーの実際のユーザー ID を記録します。
pathAVC 関連の Audi イベントでシステムコールに引数として渡されたファイルまたはディレクトリーへの完全パスを記録します。
permイベント生成に使用されたファイルパーミッション (つまり、読み取り、書き込み、実行、または属性変更) を記録します。
pid
pid フィールドのセマンティックは、このフィールドの値の発生元によって異なります。
ユーザースペースから生成されたフィールドの場合、このフィールドはプロセス ID になります。
カーネルが生成したフィールドの場合、このフィールドはスレッド ID になります。スレッド ID は単一スレッドプロセスの場合、プロセス ID と同じになります。このスレッド ID の値は、ユーザースペースで使用される pthread_t ID の値とは異なることに注意してください。詳細は、gettid(2) man ページを参照してください。
ppid親プロセス ID (PID) を記録します。
promネットワークの無作為フラグを記録します。
proto使用されたネットワークプロトコルを記録します。このフィールドは、iptables で生成された Audit イベントに固有のものになります。
resAudit イベントを開始した操作結果を記録します。
resultAudit イベントを開始した操作結果を記録します。
saddrソケットアドレスを記録します。
sauid送信者の Audit ログインユーザー ID を記録します。この ID は、元の auid を送信しているユーザーをカーネルが判別できないため、D-Bus が提供します。
ses分析されているプロセスが開始されたセッションのセッション ID を記録します。
sgid分析されているプロセスを開始したユーザーのセットグループ ID を記録します。
sigプログラムを異常終了させたシグナル数を記録します。これは通常、システム侵入を知らせるものです。
subjサブジェクトの SELinux コンテキストを記録します。サブジェクトは、プロセスやユーザー、またはオブジェクトに対して動作を行なっているものになります。
subj_clrサブジェクトの SELinux クリアランスを記録します。
subj_roleサブジェクトの SELinux の役割を記録します。
subj_senサブジェクトの SELinux の秘密度を記録します。
subj_userサブジェクトに関連付けられたユーザーを記録します。
successシステムコールが成功したか、失敗したかを記録します。
suid分析されているプロセスを開始したユーザーのセットユーザー ID を記録します。
syscallカーネルに送信されたシステムコールのタイプを記録します。
terminalターミナル名 (/dev/ なしで) を記録します。
tty制御ターミナルの名前を記録します。プロセスに制御ターミナルがない場合は、(none) の値を使います。
uid分析されているプロセスを開始したユーザーの実際のユーザー ID を記録します。
vmAudit イベントが始まった仮想マシン名を記録します。