B.2. Audit 記録のタイプ

表B.2「記録のタイプ」 では、現在サポートされている Audit 記録のタイプを一覧表示しています。イベントのタイプは、すべての Audit 記録の最初にある type= フィールドで指定されています。

表B.2 記録のタイプ

イベントタイプ説明
ADD_GROUPユーザースペースグループが追加されると開始します。
ADD_USERユーザースペースユーザーのアカウントが追加されると開始します。
ANOM_ABEND[a]プロセスが異常終了すると開始します (コアダンプを引き起こすシグナルが有効になっていれば、このシグナルを伴います)。
ANOM_ACCESS_FS[a]ファイルまたはディレクトリーアクセスが異常終了すると開始します。
ANOM_ADD_ACCT[a]ユーザースペースアカウントの追加が異常終了すると開始します。
ANOM_AMTU_FAIL[a]Abstract Machine Test Utility (AMTU) の失敗が検出されると開始します。
ANOM_CRYPTO_FAIL[a]暗号化システムの失敗が検出されると開始します。
ANOM_DEL_ACCT[a]ユーザースペースアカウントの削除が異常終了すると開始します。
ANOM_EXEC[a]ファイル実行が異常終了すると開始します。
ANOM_LOGIN_ACCT[a]アカウントのログイン試行が異常終了すると開始します。
ANOM_LOGIN_FAILURES[a]ログイン試行が失敗の制限数に達すると開始します。
ANOM_LOGIN_LOCATION[a]許可されていない場所からログイン試行が行われると開始します。
ANOM_LOGIN_SESSIONS[a]ログイン試行が同時セッションの最大数に達すると開始します。
ANOM_LOGIN_TIME[a]ログイン試行が pam_time などによって妨げられる場合に開始します。
ANOM_MAX_DAC[a]Discretionary Access Control (DAC) 失敗の最大数に達すると開始します。
ANOM_MAX_MAC[a]Mandatory Access Control (MAC) 失敗の最大数に達すると開始します。
ANOM_MK_EXEC[a]ファイルを実行可能にすると開始します。
ANOM_MOD_ACCT[a]ユーザースペースアカウントの修正が異常終了すると開始します。
ANOM_PROMISCUOUS[a]デバイスが無作為モードを有効または無効にすると開始します。
ANOM_RBAC_FAIL[a]Role-Based Access Control (RBAC) セルフテストの失敗が検出されると開始します。
ANOM_RBAC_INTEGRITY_FAIL[a]Role-Based Access Control (RBAC) ファイル整合性テストの失敗が検出されると開始します。
ANOM_ROOT_TRANS[a]ユーザーが root になると開始します。
AVCSELinux パーミッションチェックを記録するために開始します。
AVC_PATHSELinux パーミッションチェックが発生すると、dentry および vfsmount のペアを記録するために開始します。
BPRM_FCAPSユーザーがファイルシステム機能でプログラムを実行すると開始します。
CAPSETroot で機能を外すなど、プロセスベースの機能に設定されている機能を記録するために開始します。
CHGRP_IDユーザースペースのグループ ID が変更されると開始します。
CHUSER_IDユーザースペースのユーザー ID が変更されると開始します。
CONFIG_CHANGEAudit システムの設定が変更されると開始します。
CRED_ACQユーザーがユーザースペースの認証情報を必要とする際に開始します。
CRED_DISPユーザーがユーザースペースの認証情報を廃棄する際に開始します。
CRED_REFRユーザーがユーザースペースの認証情報を更新する際に開始します。
CRYPTO_FAILURE_USER暗号解読、暗号化、ランダム化のいずれかの暗号化演算が失敗すると、開始します。
CRYPTO_KEY_USER暗号化の目的で使用される暗号鍵識別子を記録するために開始します。
CRYPTO_LOGIN暗号化責任者のログイン試行が検出されると開始します。
CRYPTO_LOGOUT暗号化責任者のログアウト試行が検出されると開始します。
CRYPTO_PARAM_CHANGE_USER暗号化パラメーターで変更が検出されると開始します。
CRYPTO_REPLAY_USER再生攻撃が検出されると開始します。
CRYPTO_SESSIONTLS セッション確立中にパラメーター一式を記録するために開始します。
CRYPTO_TEST_USERFIPS-140 規格で必要とされている暗号化テスト結果を記録するために開始します。
CWD現在の作業ディレクトリーを記録するために開始します。
DAC_CHECKDAC チェックの結果を記録するために開始します。
DAEMON_ABORTエラーのためにデーモンが停止する際に開始します。
DAEMON_ACCEPTauditd デーモンがリモート接続を受け入れる際に開始します。
DAEMON_CLOSEauditd デーモンがリモート接続を閉じる際に開始します。
DAEMON_CONFIGデーモンの設定変更が検出されると開始します。
DAEMON_ENDデーモンが正常に停止されると開始します。
DAEMON_RESUMEauditd デーモンがロギングを再開する際に開始します。
DAEMON_ROTATEauditd デーモンが Audit ログファイルをローテーションする際に開始します。
DAEMON_STARTauditd デーモンが起動されると開始します。
DEL_GROUPユーザースペースグループが削除されると開始します。
DEL_USERユーザースペースのユーザーが削除されると開始します。
DEV_ALLOCデバイスが割り当てられると開始します。
DEV_DEALLOCデバイスの割り当てが解除されると開始します。
EOE複数記録イベントの終了を記録するために開始します。
EXECVEexecve(2) システムコールの引数を記録するために開始します。
FD_PAIRpipe および socketpair のシステムコールの使用を記録するために開始します。
FS_RELABELファイルシステムのラベル張り替え操作が検出されると開始します。
GRP_AUTHユーザースペースのグループに対してグループパスワードを使って認証が行われると開始します。
INTEGRITY_DATA[b]カーネルが実行するデータ整合性検証イベントを記録するために開始します。
INTEGRITY_HASH[b]カーネルが実行するハッシュタイプ整合性検証イベントを記録するために開始します。
INTEGRITY_METADATA[b]カーネルが実行するメタデータ整合性検証イベントを記録するために開始します。
INTEGRITY_PCR[b]Platform Configuration Register (PCR) 無効化メッセージを記録するために開始します。
INTEGRITY_RULE[b]ポリシールールを記録するために開始します。
INTEGRITY_STATUS[b]整合性検証のステータスを記録するために開始します。
IPCシステムコールが参照する Inter-Process Communication オブジェクトについての情報を記録するために開始します。
IPC_SET_PERMIPCオブジェクト上の IPC_SET 制御操作が設定する新しい値についての情報を記録するために開始します。
KERNELAudit システムの初期化を記録するために開始します。
KERNEL_OTHERサードパーティーのカーネルモジュールからの情報を記録するために開始します。
LABEL_LEVEL_CHANGEオブジェクトのレベルラベルが修正されると開始します。
LABEL_OVERRIDE管理者がオブジェクトのレベルラベルを上書きすると開始します。
LOGINユーザーがシステムにアクセスするためにログインする際に関連するログイン情報を記録するために開始します。
MAC_CIPSOV4_ADDCommercial Internet Protocol Security Option (CIPSO) ユーザーが新たな Domain of Interpretation (DOI) を追加すると開始します。DOI の追加は、NetLabel が提供するカーネルのパケットラベル付け機能の一部です。
MAC_CIPSOV4_DELCIPSO ユーザーが既存の DOI を削除すると開始します。DOI の追加は、NetLabel が提供するカーネルのパケットラベル付け機能の一部です。
MAC_CONFIG_CHANGESELinux ブール値が変更されると開始します。
MAC_IPSEC_EVENTIPSec イベントが検出されるか IPSec 設定が変更されると、IPSec イベントについての情報を記録するために開始します。
MAC_MAP_ADD新たな Linux Security Module (LSM) ドメインマッピングが追加されると開始します。LSM ドメインマッピングは、NetLabel が提供するカーネルのパケットラベル付け機能の一部です。
MAC_MAP_DEL既存の LSM ドメインマッピングが追加されると開始します。LSM ドメインマッピングは、NetLabel が提供するカーネルのパケットラベル付け機能の一部です。
MAC_POLICY_LOADSELinux ポリシーファイルが読み込まれると開始します。
MAC_STATUSSELinux モード (enforcing、permissive、off) が変更されると開始します。
MAC_UNLBL_ALLOWNetLabel が提供するカーネルのパケットラベル付け機能を使用する際にラベルのないトラフィックが許可されると開始します。
MAC_UNLBL_STCADDNetLabel が提供するカーネルのパケットラベル付け機能を使用する際に静的ラベルが追加されると開始します。
MAC_UNLBL_STCDELNetLabel が提供するカーネルのパケットラベル付け機能を使用する際に静的ラベルが削除されると開始します。
MMAPmmap(2) システムコールのファイル記述子およびフラグを記録するために開始します。
MQ_GETSETATTRmq_getattr(3) および mq_setattr(3) のメッセージキュー属性を記録するために開始します。
MQ_NOTIFYmq_notify(3) システムコールの引数を記録するために開始します。
MQ_OPENmq_open(3) システムコールの引数を記録するために開始します。
MQ_SENDRECVmq_send(3) および mq_receive(3) のシステムコールの引数を記録するために開始します。
NETFILTER_CFGNetfilter チェーンの修正が検出されると開始します。
NETFILTER_PKTNetfilter チェーンをトラバースするパケットを記録するために開始します。
OBJ_PID信号の送信先のプロセスについての情報を記録するために開始します。
PATHファイル名パスの情報を記録するために開始します。
RESP_ACCT_LOCK[c]ユーザーのアカウントがロックされると開始します。
RESP_ACCT_LOCK_TIMED[c]ユーザーのアカウントが一定期間ロックされると開始します。
RESP_ACCT_REMOTE[c]ユーザーのアカウントがリモートセッションからロックされると開始します。
RESP_ACCT_UNLOCK_TIMED[c]ユーザーのアカウントが設定された期間の後にロック解除されると開始します。
RESP_ALERT[c]警告 E メールが送信されると開始します。
RESP_ANOMALY[c]異常に対してアクションが取られないと開始します。
RESP_EXEC[c]プログラムの実行を元とする脅威に侵入検出プログラムが反応すると開始します。
RESP_HALT[c]システムがシャットダウンすると開始します。
RESP_KILL_PROC[c]プロセスが終了すると開始します。
RESP_SEBOOL[c]SELinux ブール値が設定されると開始します。
RESP_SINGLE[c]システムがシングルユーザーモードになると開始します。
RESP_TERM_ACCESS[c]セッションが終了すると開始します。
RESP_TERM_LOCK[c]ターミナルがロックされると開始します。
ROLE_ASSIGN管理者がユーザーに SELinux の役割を割り当てると開始します。
ROLE_MODIFY管理者が SELinux の役割を編集すると開始します。
ROLE_REMOVE管理者がユーザーを SELinux の役割から削除すると開始します。
SELINUX_ERR内部 SELinux エラーが検出されると開始します。
SERVICE_STARTサービスが起動すると開始します。
SERVICE_STOPサービスが停止すると開始します。
SOCKADDRソケットアドレスを記録するために開始します。
SOCKETCALLsys_socketcall システムコール (多くのソケット関連のシステムコールを多重化するために使用) の引数を記録するために開始します。
SYSCALLカーネルへのシステムコールを記録するために開始します。
SYSTEM_BOOTシステムが起動すると開始します。
SYSTEM_RUNLEVELシステムのランレベルが変更されると開始します。
SYSTEM_SHUTDOWNシステムがシャットダウンすると開始します。
TESTテストメッセージの成功の値を記録するために開始します。
TRUSTED_APPこのタイプの記録は、監査を必要とするサードパーティーのアプリケーションで使用可能です。
TTYTTY 入力が管理プロセスに送信されると開始します。
USER_ACCTユーザースペースユーザーのアカウントが編集されると開始します。
USER_AUTHユーザースペースの認証試行が検出されると開始します。
USER_AVCユーザースペースの AVC メッセージが生成されると開始します。
USER_CHAUTHTOKユーザーアカウントの属性が編集されると開始します。
USER_CMDユーザースペースのシェルコマンドが実行されると開始します。
USER_ENDユーザースペースのセッションが終了すると開始します。
USER_ERRユーザーアカウントの状態のエラーが検出されると開始します。
USER_LABELED_EXPORTSELinux ラベルの付いたオブジェクトがエクスポートされると開始します。
USER_LOGINユーザーがログインすると開始します。
USER_LOGOUTユーザーがログアウトすると開始します。
USER_MAC_POLICY_LOADユーザースペースのデーモンが SELinux ポリシーを読み込むと開始します。
USER_MGMTユーザースペースの管理データを記録するために開始します。
USER_ROLE_CHANGEユーザーの SELinux の役割が変更されると開始します。
USER_SELINUX_ERRユーザースペースの SELinux エラーが検出されると開始します。
USER_STARTユーザースペースのセッションが開始すると開始します。
USER_TTY管理プロセスへの TTY 入力についての説明メッセージがユーザースペースから送信されると開始します。
USER_UNLABELED_EXPORTSELinux ラベルなしでオブジェクトがエクスポートされると開始します。
USYS_CONFIGユーザースペースのシステム設定変更が検出されると開始します。
VIRT_CONTROL仮想マシンが起動、一時停止、停止すると開始します。
VIRT_MACHINE_ID仮想マシンへのラベルのバインディングを記録するために開始します。
VIRT_RESOURCE仮想マシンのリソース割り当てを記録するために開始します。
[a] All Audit event types prepended with ANOM are intended to be processed by an intrusion detection program.
[b] This event type is related to the Integrity Measurement Architecture (IMA), which functions best with a Trusted Platform Module (TPM) chip.
[c] All Audit event types prepended with RESP are intended responses of an intrusion detection system in case it detects malicious activity on the system.