Show Table of Contents
B.2. Audit 記録のタイプ
表B.2「記録のタイプ」 では、現在サポートされている Audit 記録のタイプを一覧表示しています。イベントのタイプは、すべての Audit 記録の最初にある
type= フィールドで指定されています。
表B.2 記録のタイプ
| イベントタイプ | 説明 |
|---|---|
ADD_GROUP | ユーザースペースグループが追加されると開始します。 |
ADD_USER | ユーザースペースユーザーのアカウントが追加されると開始します。 |
ANOM_ABEND[a] | プロセスが異常終了すると開始します (コアダンプを引き起こすシグナルが有効になっていれば、このシグナルを伴います)。 |
ANOM_ACCESS_FS[a] | ファイルまたはディレクトリーアクセスが異常終了すると開始します。 |
ANOM_ADD_ACCT[a] | ユーザースペースアカウントの追加が異常終了すると開始します。 |
ANOM_AMTU_FAIL[a] | Abstract Machine Test Utility (AMTU) の失敗が検出されると開始します。 |
ANOM_CRYPTO_FAIL[a] | 暗号化システムの失敗が検出されると開始します。 |
ANOM_DEL_ACCT[a] | ユーザースペースアカウントの削除が異常終了すると開始します。 |
ANOM_EXEC[a] | ファイル実行が異常終了すると開始します。 |
ANOM_LOGIN_ACCT[a] | アカウントのログイン試行が異常終了すると開始します。 |
ANOM_LOGIN_FAILURES[a] | ログイン試行が失敗の制限数に達すると開始します。 |
ANOM_LOGIN_LOCATION[a] | 許可されていない場所からログイン試行が行われると開始します。 |
ANOM_LOGIN_SESSIONS[a] | ログイン試行が同時セッションの最大数に達すると開始します。 |
ANOM_LOGIN_TIME[a] | ログイン試行が pam_time などによって妨げられる場合に開始します。 |
ANOM_MAX_DAC[a] | Discretionary Access Control (DAC) 失敗の最大数に達すると開始します。 |
ANOM_MAX_MAC[a] | Mandatory Access Control (MAC) 失敗の最大数に達すると開始します。 |
ANOM_MK_EXEC[a] | ファイルを実行可能にすると開始します。 |
ANOM_MOD_ACCT[a] | ユーザースペースアカウントの修正が異常終了すると開始します。 |
ANOM_PROMISCUOUS[a] | デバイスが無作為モードを有効または無効にすると開始します。 |
ANOM_RBAC_FAIL[a] | Role-Based Access Control (RBAC) セルフテストの失敗が検出されると開始します。 |
ANOM_RBAC_INTEGRITY_FAIL[a] | Role-Based Access Control (RBAC) ファイル整合性テストの失敗が検出されると開始します。 |
ANOM_ROOT_TRANS[a] | ユーザーが root になると開始します。 |
AVC | SELinux パーミッションチェックを記録するために開始します。 |
AVC_PATH | SELinux パーミッションチェックが発生すると、dentry および vfsmount のペアを記録するために開始します。 |
BPRM_FCAPS | ユーザーがファイルシステム機能でプログラムを実行すると開始します。 |
CAPSET | root で機能を外すなど、プロセスベースの機能に設定されている機能を記録するために開始します。 |
CHGRP_ID | ユーザースペースのグループ ID が変更されると開始します。 |
CHUSER_ID | ユーザースペースのユーザー ID が変更されると開始します。 |
CONFIG_CHANGE | Audit システムの設定が変更されると開始します。 |
CRED_ACQ | ユーザーがユーザースペースの認証情報を必要とする際に開始します。 |
CRED_DISP | ユーザーがユーザースペースの認証情報を廃棄する際に開始します。 |
CRED_REFR | ユーザーがユーザースペースの認証情報を更新する際に開始します。 |
CRYPTO_FAILURE_USER | 暗号解読、暗号化、ランダム化のいずれかの暗号化演算が失敗すると、開始します。 |
CRYPTO_KEY_USER | 暗号化の目的で使用される暗号鍵識別子を記録するために開始します。 |
CRYPTO_LOGIN | 暗号化責任者のログイン試行が検出されると開始します。 |
CRYPTO_LOGOUT | 暗号化責任者のログアウト試行が検出されると開始します。 |
CRYPTO_PARAM_CHANGE_USER | 暗号化パラメーターで変更が検出されると開始します。 |
CRYPTO_REPLAY_USER | 再生攻撃が検出されると開始します。 |
CRYPTO_SESSION | TLS セッション確立中にパラメーター一式を記録するために開始します。 |
CRYPTO_TEST_USER | FIPS-140 規格で必要とされている暗号化テスト結果を記録するために開始します。 |
CWD | 現在の作業ディレクトリーを記録するために開始します。 |
DAC_CHECK | DAC チェックの結果を記録するために開始します。 |
DAEMON_ABORT | エラーのためにデーモンが停止する際に開始します。 |
DAEMON_ACCEPT | auditd デーモンがリモート接続を受け入れる際に開始します。 |
DAEMON_CLOSE | auditd デーモンがリモート接続を閉じる際に開始します。 |
DAEMON_CONFIG | デーモンの設定変更が検出されると開始します。 |
DAEMON_END | デーモンが正常に停止されると開始します。 |
DAEMON_RESUME | auditd デーモンがロギングを再開する際に開始します。 |
DAEMON_ROTATE | auditd デーモンが Audit ログファイルをローテーションする際に開始します。 |
DAEMON_START | auditd デーモンが起動されると開始します。 |
DEL_GROUP | ユーザースペースグループが削除されると開始します。 |
DEL_USER | ユーザースペースのユーザーが削除されると開始します。 |
DEV_ALLOC | デバイスが割り当てられると開始します。 |
DEV_DEALLOC | デバイスの割り当てが解除されると開始します。 |
EOE | 複数記録イベントの終了を記録するために開始します。 |
EXECVE | execve(2) システムコールの引数を記録するために開始します。 |
FD_PAIR | pipe および socketpair のシステムコールの使用を記録するために開始します。 |
FS_RELABEL | ファイルシステムのラベル張り替え操作が検出されると開始します。 |
GRP_AUTH | ユーザースペースのグループに対してグループパスワードを使って認証が行われると開始します。 |
INTEGRITY_DATA[b] | カーネルが実行するデータ整合性検証イベントを記録するために開始します。 |
INTEGRITY_HASH[b] | カーネルが実行するハッシュタイプ整合性検証イベントを記録するために開始します。 |
INTEGRITY_METADATA[b] | カーネルが実行するメタデータ整合性検証イベントを記録するために開始します。 |
INTEGRITY_PCR[b] | Platform Configuration Register (PCR) 無効化メッセージを記録するために開始します。 |
INTEGRITY_RULE[b] | ポリシールールを記録するために開始します。 |
INTEGRITY_STATUS[b] | 整合性検証のステータスを記録するために開始します。 |
IPC | システムコールが参照する Inter-Process Communication オブジェクトについての情報を記録するために開始します。 |
IPC_SET_PERM | IPCオブジェクト上の IPC_SET 制御操作が設定する新しい値についての情報を記録するために開始します。 |
KERNEL | Audit システムの初期化を記録するために開始します。 |
KERNEL_OTHER | サードパーティーのカーネルモジュールからの情報を記録するために開始します。 |
LABEL_LEVEL_CHANGE | オブジェクトのレベルラベルが修正されると開始します。 |
LABEL_OVERRIDE | 管理者がオブジェクトのレベルラベルを上書きすると開始します。 |
LOGIN | ユーザーがシステムにアクセスするためにログインする際に関連するログイン情報を記録するために開始します。 |
MAC_CIPSOV4_ADD | Commercial Internet Protocol Security Option (CIPSO) ユーザーが新たな Domain of Interpretation (DOI) を追加すると開始します。DOI の追加は、NetLabel が提供するカーネルのパケットラベル付け機能の一部です。 |
MAC_CIPSOV4_DEL | CIPSO ユーザーが既存の DOI を削除すると開始します。DOI の追加は、NetLabel が提供するカーネルのパケットラベル付け機能の一部です。 |
MAC_CONFIG_CHANGE | SELinux ブール値が変更されると開始します。 |
MAC_IPSEC_EVENT | IPSec イベントが検出されるか IPSec 設定が変更されると、IPSec イベントについての情報を記録するために開始します。 |
MAC_MAP_ADD | 新たな Linux Security Module (LSM) ドメインマッピングが追加されると開始します。LSM ドメインマッピングは、NetLabel が提供するカーネルのパケットラベル付け機能の一部です。 |
MAC_MAP_DEL | 既存の LSM ドメインマッピングが追加されると開始します。LSM ドメインマッピングは、NetLabel が提供するカーネルのパケットラベル付け機能の一部です。 |
MAC_POLICY_LOAD | SELinux ポリシーファイルが読み込まれると開始します。 |
MAC_STATUS | SELinux モード (enforcing、permissive、off) が変更されると開始します。 |
MAC_UNLBL_ALLOW | NetLabel が提供するカーネルのパケットラベル付け機能を使用する際にラベルのないトラフィックが許可されると開始します。 |
MAC_UNLBL_STCADD | NetLabel が提供するカーネルのパケットラベル付け機能を使用する際に静的ラベルが追加されると開始します。 |
MAC_UNLBL_STCDEL | NetLabel が提供するカーネルのパケットラベル付け機能を使用する際に静的ラベルが削除されると開始します。 |
MMAP | mmap(2) システムコールのファイル記述子およびフラグを記録するために開始します。 |
MQ_GETSETATTR | mq_getattr(3) および mq_setattr(3) のメッセージキュー属性を記録するために開始します。 |
MQ_NOTIFY | mq_notify(3) システムコールの引数を記録するために開始します。 |
MQ_OPEN | mq_open(3) システムコールの引数を記録するために開始します。 |
MQ_SENDRECV | mq_send(3) および mq_receive(3) のシステムコールの引数を記録するために開始します。 |
NETFILTER_CFG | Netfilter チェーンの修正が検出されると開始します。 |
NETFILTER_PKT | Netfilter チェーンをトラバースするパケットを記録するために開始します。 |
OBJ_PID | 信号の送信先のプロセスについての情報を記録するために開始します。 |
PATH | ファイル名パスの情報を記録するために開始します。 |
RESP_ACCT_LOCK[c] | ユーザーのアカウントがロックされると開始します。 |
RESP_ACCT_LOCK_TIMED[c] | ユーザーのアカウントが一定期間ロックされると開始します。 |
RESP_ACCT_REMOTE[c] | ユーザーのアカウントがリモートセッションからロックされると開始します。 |
RESP_ACCT_UNLOCK_TIMED[c] | ユーザーのアカウントが設定された期間の後にロック解除されると開始します。 |
RESP_ALERT[c] | 警告 E メールが送信されると開始します。 |
RESP_ANOMALY[c] | 異常に対してアクションが取られないと開始します。 |
RESP_EXEC[c] | プログラムの実行を元とする脅威に侵入検出プログラムが反応すると開始します。 |
RESP_HALT[c] | システムがシャットダウンすると開始します。 |
RESP_KILL_PROC[c] | プロセスが終了すると開始します。 |
RESP_SEBOOL[c] | SELinux ブール値が設定されると開始します。 |
RESP_SINGLE[c] | システムがシングルユーザーモードになると開始します。 |
RESP_TERM_ACCESS[c] | セッションが終了すると開始します。 |
RESP_TERM_LOCK[c] | ターミナルがロックされると開始します。 |
ROLE_ASSIGN | 管理者がユーザーに SELinux の役割を割り当てると開始します。 |
ROLE_MODIFY | 管理者が SELinux の役割を編集すると開始します。 |
ROLE_REMOVE | 管理者がユーザーを SELinux の役割から削除すると開始します。 |
SELINUX_ERR | 内部 SELinux エラーが検出されると開始します。 |
SERVICE_START | サービスが起動すると開始します。 |
SERVICE_STOP | サービスが停止すると開始します。 |
SOCKADDR | ソケットアドレスを記録するために開始します。 |
SOCKETCALL | sys_socketcall システムコール (多くのソケット関連のシステムコールを多重化するために使用) の引数を記録するために開始します。 |
SYSCALL | カーネルへのシステムコールを記録するために開始します。 |
SYSTEM_BOOT | システムが起動すると開始します。 |
SYSTEM_RUNLEVEL | システムのランレベルが変更されると開始します。 |
SYSTEM_SHUTDOWN | システムがシャットダウンすると開始します。 |
TEST | テストメッセージの成功の値を記録するために開始します。 |
TRUSTED_APP | このタイプの記録は、監査を必要とするサードパーティーのアプリケーションで使用可能です。 |
TTY | TTY 入力が管理プロセスに送信されると開始します。 |
USER_ACCT | ユーザースペースユーザーのアカウントが編集されると開始します。 |
USER_AUTH | ユーザースペースの認証試行が検出されると開始します。 |
USER_AVC | ユーザースペースの AVC メッセージが生成されると開始します。 |
USER_CHAUTHTOK | ユーザーアカウントの属性が編集されると開始します。 |
USER_CMD | ユーザースペースのシェルコマンドが実行されると開始します。 |
USER_END | ユーザースペースのセッションが終了すると開始します。 |
USER_ERR | ユーザーアカウントの状態のエラーが検出されると開始します。 |
USER_LABELED_EXPORT | SELinux ラベルの付いたオブジェクトがエクスポートされると開始します。 |
USER_LOGIN | ユーザーがログインすると開始します。 |
USER_LOGOUT | ユーザーがログアウトすると開始します。 |
USER_MAC_POLICY_LOAD | ユーザースペースのデーモンが SELinux ポリシーを読み込むと開始します。 |
USER_MGMT | ユーザースペースの管理データを記録するために開始します。 |
USER_ROLE_CHANGE | ユーザーの SELinux の役割が変更されると開始します。 |
USER_SELINUX_ERR | ユーザースペースの SELinux エラーが検出されると開始します。 |
USER_START | ユーザースペースのセッションが開始すると開始します。 |
USER_TTY | 管理プロセスへの TTY 入力についての説明メッセージがユーザースペースから送信されると開始します。 |
USER_UNLABELED_EXPORT | SELinux ラベルなしでオブジェクトがエクスポートされると開始します。 |
USYS_CONFIG | ユーザースペースのシステム設定変更が検出されると開始します。 |
VIRT_CONTROL | 仮想マシンが起動、一時停止、停止すると開始します。 |
VIRT_MACHINE_ID | 仮想マシンへのラベルのバインディングを記録するために開始します。 |
VIRT_RESOURCE | 仮想マシンのリソース割り当てを記録するために開始します。 |
[a]
All Audit event types prepended with ANOM are intended to be processed by an intrusion detection program.
[b]
This event type is related to the Integrity Measurement Architecture (IMA), which functions best with a Trusted Platform Module (TPM) chip.
[c]
All Audit event types prepended with RESP are intended responses of an intrusion detection system in case it detects malicious activity on the system.
| |
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.