Show Table of Contents
付録B Audit システムのリファレンス
B.1. Audit イベントフィールド
表B.1「イベントフィールド」 では、現在サポートされている Audit イベントフィールドを一覧表示しています。イベントフィールドとは、Audit ログファイルで等号記号の前にある値です。
表B.1 イベントフィールド
| イベントフィールド | 説明 |
|---|---|
a0、a1、a2、a3 | システムコールの最初の 4 つの引数を十六進法で記録します。 |
acct | ユーザーのアカウント名を記録します。 |
addr | IPv4 または IPv6 アドレスを記録します。このフィールドは通常、hostname フィールドの後に来て、ホスト名が解決するアドレスを含みます。 |
arch | システムの CPU アーキテクチャーについての情報を十六進法にエンコードして記録します。 |
auid | Audit ユーザー ID を記録します。この ID は、ログイン時にユーザーに割り当てられ、ユーザーの ID が変更された後でもすべてのプロセスに引き継がれます (たとえば、su - john コマンドでユーザーアカウントを切り替えた場合)。 |
capability | Records the number of bits that were used to set a particular Linux capability. For more information on Linux capabilities, refer to the capabilities(7) man page. |
cap_fi | 引き継いだファイルのシステムベースの機能設定に関連したデータを記録します。 |
cap_fp | 許可されたファイルのシステムベースの機能設定に関連したデータを記録します。 |
cap_pe | 効果的なプロセスベースの機能設定に関連したデータを記録します。 |
cap_pi | 継承されたプロセスベースの機能設定に関連したデータを記録します。 |
cap_pp | 許可されたプロセスベースの機能設定に関連したデータを記録します。 |
cgroup | Audit イベント生成時のプロセスが含まれる cgroup へのパスを記録します。 |
cmd | 実行されたコマンドライン全体を記録します。これは、exe フィールドがたとえば /bin/bash を記録するようなシェルインタープリターの場合に便利です。シェルインタープリターと cmd フィールドは、helloworld.sh --help のような実行されたコマンドラインの残りの部分を記録するからです。 |
comm | 実行されたコマンドを記録します。これは、exe フィールドがたとえば /bin/bash を記録するようなシェルインタープリターの場合に便利です。シェルインタープリターと comm フィールドは、helloworld.sh のような実行されたスクリプト名を記録するからです。 |
cwd | システムコールが開始されたディレクトリーへのパスを記録します。 |
data | TTY 記録に関連するデータを記録します。 |
dev | イベントで記録されたファイルまたはディレクトリーを含むデバイスのマイナーおよびメジャー ID を記録します。 |
devmajor | メジャーデバイス ID を記録します。 |
devminor | マイナーデバイス ID を記録します。 |
egid | 分析されているプロセスを開始したユーザーの実効グループ ID を記録します。 |
euid | 分析されているプロセスを開始したユーザーの実効ユーザー ID を記録します。 |
exe | 分析されているプロセスを開始するために使用された実行可能ファイルへのパスを記録します。 |
exit | システムコールが返した終了コードを記録します。この値は、システムコールによって異なります。以下のコマンドを使うと、この値をヒューマンリーダブルなものに変換できます。ausearch --interpret --exit exit_code |
family | IPv4 または IPv6 の使用されたアドレスプロトコルのタイプを記録します。 |
filetype | ファイルのタイプを記録します。 |
flags | ファイルシステム名のフラグを記録します。 |
fsgid | 分析されているプロセスを開始したユーザーのファイルシステムグループ ID を記録します。 |
fsuid | 分析されているプロセスを開始したユーザーのファイルシステムユーザー ID を記録します。 |
gid | グループ ID を記録します。 |
hostname | ホスト名を記録します。 |
icmptype | 受信した Internet Control Message Protocol (ICMP) パッケージのタイプを記録します。このフィールドを含む Audit メッセージは通常、iptables が生成します。 |
id | 変更されたアカウントのユーザー ID を記録します。 |
inode | Audit イベントで記録されたファイルまたはディレクトリーに関連する inode 番号を記録します。 |
inode_gid | inode の所有者のグループ ID を記録します。 |
inode_uid | inode の所有者のユーザー ID を記録します。 |
items | この記録にアタッチされたパス記録の数を記録します。 |
key | Audit ログで特定のイベントを生成したルールに関連付けられているユーザー定義の文字列を記録します。 |
list | Audit ルールリストの ID を記録します。以下が既知の ID リストになります。
|
mode | ファイルまたはディレクトリーのパーミッションを数字表記にエンコードして記録します。 |
msg | 記録のタイムスタンプと一意の ID、または各種のイベント固有の <name>=<value> ペアを記録します。これらは、カーネルもしくはユーザースペースアプリケーションが提供します。 |
msgtype | ユーザーベースの AVC 拒否の場合に返されたメッセージのタイプを記録します。このメッセージタイプは、D-Bus で決定されます。 |
name | システムコールに引数として渡されたファイルまたはディレクトリーへの完全パスを記録します。 |
new-disk | 仮想マシンに割り当てられた新規ディスクリソースの名前を記録します。 |
new-mem | 仮想マシンに割り当てられた新規メモリーリソースの容量を記録します。 |
new-vcpu | 仮想マシンに割り当てられた新規の仮想 CPU リソースの数を記録します。 |
new-net | 仮想マシンに割り当てられた新規ネットワークインターフェースのリソースの MAC アドレスを記録します。 |
new_gid | ユーザーに割り当てられたグループ ID を記録します。 |
oauid | システムにアクセスするためにログインし (su を使用してのログインなどではなく)、ターゲットプロセスを開始したユーザーのユーザー ID を記録します。このフィールドは、タイプ OBJ_PID の記録専用になります。 |
ocomm | ターゲットプロセスの開始に使用されたコマンドを記録します。このフィールドは、タイプ OBJ_PID の記録専用になります。 |
opid | ターゲットプロセスのプロセス ID を記録します。このフィールドは、タイプ OBJ_PID の記録専用になります。 |
oses | ターゲットプロセスのセッション ID を記録します。このフィールドは、タイプ OBJ_PID の記録専用になります。 |
ouid | ターゲットプロセスの実際のユーザー ID を記録します。 |
obj | オブジェクトの SELinux コンテキストを記録します。オブジェクトは、ファイルやディレクトリー、またはサブジェクトのアクションを受信するものになります。 |
obj_gid | オブジェクトのグループ ID を記録します。 |
obj_lev_high | オブジェクトの高い SELinux レベルを記録します。 |
obj_lev_low | オブジェクトの低い SELinux レベルを記録します。 |
obj_role | オブジェクトの SELinux の役割を記録します。 |
obj_uid | オブジェクトの UID を記録します。 |
obj_user | オブジェクトに関連付けられたユーザーを記録します。 |
ogid | オブジェクトの所有者のグループ ID を記録します。 |
old-disk | 新規ディスクリソースが仮想マシンに割り当てられた際の古いディスクリソース名を記録します。 |
old-mem | 新しいメモリー容量が仮想マシンに割り当てられた際の古いメモリーリソースの容量を記録します。 |
old-vcpu | 新規の仮想 CPU が仮想マシンに割り当てられた際の古い仮想 CPU リソースの数を記録します。 |
old-net | 新規ネットワークインターフェースが仮想マシンに割り当てられた際の古いネットワークインターフェースリソースの MAC アドレスを記録します。 |
old_prom | ネットワークの無作為フラグの以前の値を記録します。 |
ouid | ターゲットプロセスを開始したユーザーの実際のユーザー ID を記録します。 |
path | AVC 関連の Audi イベントでシステムコールに引数として渡されたファイルまたはディレクトリーへの完全パスを記録します。 |
perm | イベント生成に使用されたファイルパーミッション (つまり、読み取り、書き込み、実行、または属性変更) を記録します。 |
pid | pid フィールドのセマンティックは、このフィールドの値の発生元によって異なります。
ユーザースペースから生成されたフィールドの場合、このフィールドはプロセス ID になります。
カーネルが生成したフィールドの場合、このフィールドはスレッド ID になります。スレッド ID は単一スレッドプロセスの場合、プロセス ID と同じになります。このスレッド ID の値は、ユーザースペースで使用される pthread_t ID の値とは異なることに注意してください。詳細は、gettid(2) man ページを参照してください。
|
ppid | 親プロセス ID (PID) を記録します。 |
prom | ネットワークの無作為フラグを記録します。 |
proto | 使用されたネットワークプロトコルを記録します。このフィールドは、iptables で生成された Audit イベントに固有のものになります。 |
res | Audit イベントを開始した操作結果を記録します。 |
result | Audit イベントを開始した操作結果を記録します。 |
saddr | ソケットアドレスを記録します。 |
sauid | 送信者の Audit ログインユーザー ID を記録します。この ID は、元の auid を送信しているユーザーをカーネルが判別できないため、D-Bus が提供します。 |
ses | 分析されているプロセスが開始されたセッションのセッション ID を記録します。 |
sgid | 分析されているプロセスを開始したユーザーのセットグループ ID を記録します。 |
sig | プログラムを異常終了させたシグナル数を記録します。これは通常、システム侵入を知らせるものです。 |
subj | サブジェクトの SELinux コンテキストを記録します。サブジェクトは、プロセスやユーザー、またはオブジェクトに対して動作を行なっているものになります。 |
subj_clr | サブジェクトの SELinux クリアランスを記録します。 |
subj_role | サブジェクトの SELinux の役割を記録します。 |
subj_sen | サブジェクトの SELinux の秘密度を記録します。 |
subj_user | サブジェクトに関連付けられたユーザーを記録します。 |
success | システムコールが成功したか、失敗したかを記録します。 |
suid | 分析されているプロセスを開始したユーザーのセットユーザー ID を記録します。 |
syscall | カーネルに送信されたシステムコールのタイプを記録します。 |
terminal | ターミナル名 (/dev/ なしで) を記録します。 |
tty | 制御ターミナルの名前を記録します。プロセスに制御ターミナルがない場合は、(none) の値を使います。 |
uid | 分析されているプロセスを開始したユーザーの実際のユーザー ID を記録します。 |
vm | Audit イベントが始まった仮想マシン名を記録します。 |
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.