付録B Audit システムのリファレンス
B.1. 監査イベントフィールド
表B.1「イベントフィールド」 現在サポートしている Audit イベントフィールドをすべて表示します。イベントフィールドは、Audit ログファイルの等号の前にある値です。
| イベントフィールド | 説明 |
|---|---|
a0, a1, a2, a3 | 16 進数表記でエンコードされた、システムコールの最初の 4 つの引数を記録します。 |
acct | ユーザーのアカウント名を記録します。 |
addr | IPv4 アドレスまたは IPv6 アドレスを記録します。このフィールドは、通常、に従います。 hostname フィールドで、ホスト名が解決するアドレスが含まれます。 |
arch | システムの CPU アーキテクチャーに関する情報を記録します。16 進数表記でエンコードされます。 |
auid | Audit ユーザー ID を記録します。この ID は、ログイン時にユーザーに割り当てられ、ユーザーのアイデンティティーが変更される場合でも(たとえば、でユーザーアカウントを切り替えて su - john)すべてのプロセスによって継承されます。 |
capability | 特定の Linux 機能の設定に使用されたビット数を記録します。Linux 機能の詳細は、を参照してください。 機能(7) の man ページ。 |
cap_fi | 継承されたファイルシステムベースの機能の設定に関連するデータを記録します。 |
cap_fp | 許可されたファイルシステムベースの機能の設定に関連するデータを記録します。 |
cap_pe | 効果的なプロセスベースの機能の設定に関連するデータを記録します。 |
cap_pi | 継承されたプロセスベースの機能の設定に関連するデータを記録します。 |
cap_pp | 許可されたプロセスベースの機能の設定に関連するデータを記録します。 |
cgroup | Audit イベントの生成時にプロセス cgroup が含まれるへのパスを記録します。 |
cmd | 実行されたコマンドライン全体を記録します。これは、たとえば、シェルインタープリター /bin/bash として、exe フィールドが記録するシェルインタープリターの場合や、cmd フィールドは実行される残りのコマンドラインを記録し helloworld.sh --helpます。 |
comm | 実行したコマンドを記録します。これは、たとえば、シェルインタープリター /bin/bash として、exe フィールドが記録するシェルインタープリターの場合や、comm フィールドは実行されるスクリプトの名前を記録し helloworld.shます。 |
cwd | システムコールが開始したディレクトリーへのパスを記録します。 |
data | TTY レコードに関連付けられたデータを記録します。 |
dev | イベントに記録されたファイルまたはディレクトリーが含まれるデバイスのマイナー ID とメジャー ID を記録します。 |
devmajor | メジャーデバイス ID を記録します。 |
devminor | マイナーデバイス ID を記録します。 |
egid | 解析しているプロセスを開始したユーザーの実効グループ ID を記録します。 |
euid | 解析しているプロセスを開始したユーザーの実効ユーザー ID を記録します。 |
exe | 解析しているプロセスを開始するために使用した実行可能ファイルへのパスを記録します。 |
exit | システムコールが返した終了コードを記録します。この値はシステムコールによって異なります。以下のコマンドを使用すると、この値を人間が判読可能なものに変換できます。 ausearch --interpret --exit exit_code |
family | IPv4 または IPv6 のいずれかで使用されたアドレスプロトコルのタイプを記録します。 |
filetype | ファイルのタイプを記録します。 |
flags | ファイルシステムの名前フラグを記録します。 |
fsgid | 解析しているプロセスを開始したユーザーのファイルシステムグループ ID を記録します。 |
fsuid | 解析しているプロセスを開始したユーザーのファイルシステムユーザー ID を記録します。 |
gid | グループ ID を記録します。 |
hostname | ホスト名を記録します。 |
icmptype | 受信したインターネット制御メッセージプロトコル(ICMP)パッケージのタイプを記録します。このフィールドを含む監査メッセージは、iptables により生成されます。 |
id | 変更されたアカウントのユーザー ID を記録します。 |
inode | Audit イベントに記録されたファイルまたはディレクトリーに関連付けられた inode 番号を記録します。 |
inode_gid | inode の所有者のグループ ID を記録します。 |
inode_uid | inode の所有者のユーザー ID を記録します。 |
items | このレコードに接続されているパスレコードの数を記録します。 |
key | Audit ログで特定のイベントを生成したルールに関連付けられたユーザー定義の文字列を記録します。 |
list | Audit ルールリスト ID を記録します。既知の ID の一覧は以下のとおりです。
|
mode | ファイルまたはディレクトリーのパーミッションを、数字表記でエンコードします。 |
msg | レコードのタイムスタンプと一意の ID、またはカーネルまたはユーザー空間アプリケーションが提供するさまざまなイベント固有の <name>=<value> ペアを記録します。 |
msgtype | ユーザーベースの AVC 拒否が発生した場合に返されるメッセージタイプを記録します。メッセージタイプは D-Bus によって決定されます。 |
name | システムコールに引数として渡されたファイルまたはディレクトリーの完全パスを記録します。 |
new-disk | 仮想マシンに割り当てられた新規ディスクリソースの名前を記録します。 |
new-mem | 仮想マシンに割り当てられた新規メモリーリソースの量を記録します。 |
new-vcpu | 仮想マシンに割り当てられた新規仮想 CPU リソースの数を記録します。 |
new-net | 仮想マシンに割り当てられた新規ネットワークインターフェースリソースの MAC アドレスを記録します。 |
new_gid | ユーザーに割り当てられているグループ ID を記録します。 |
oauid | (を使用などではなく su)システムにログインしているユーザーのユーザー ID を記録し、ターゲットプロセスを開始している。このフィールドはタイプのレコードのみに限定されます。 OBJ_PID. |
ocomm | ターゲットプロセスを開始するために使用したコマンドを記録します。このフィールドはタイプのレコードのみに限定されます。 OBJ_PID. |
opid | ターゲットプロセスのプロセス ID を記録します。このフィールドはタイプのレコードのみに限定されます。 OBJ_PID. |
oses | ターゲットプロセスのセッション ID を記録します。このフィールドはタイプのレコードのみに限定されます。 OBJ_PID. |
ouid | ターゲットプロセスの実際のユーザー ID を記録します。 |
obj | オブジェクトの SELinux コンテキストを記録します。オブジェクトは、ファイル、ディレクトリー、ソケット、またはサブジェクトのアクションを受信するものになります。 |
obj_gid | オブジェクトのグループ ID を記録します。 |
obj_lev_high | オブジェクトの SELinux レベルの高いものを記録します。 |
obj_lev_low | オブジェクトの低い SELinux レベルを記録します。 |
obj_role | オブジェクトの SELinux ロールを記録します。 |
obj_uid | オブジェクトの UID を記録します。 |
obj_user | オブジェクトに関連付けられたユーザーを記録します。 |
ogid | オブジェクトの所有者のグループ ID を記録します。 |
old-disk | 新規ディスクリソースが仮想マシンに割り当てられている場合に、古いディスクリソースの名前を記録します。 |
old-mem | 新しいメモリーが仮想マシンに割り当てられている場合の古いメモリーリソースの量を記録します。 |
old-vcpu | 新規仮想 CPU が仮想マシンに割り当てられている場合の古い仮想 CPU リソースの数を記録します。 |
old-net | 新しいネットワークインターフェースが仮想マシンに割り当てられている場合に、古いネットワークインターフェースリソースの MAC アドレスを記録します。 |
old_prom | ネットワーク promiscuity フラグの以前の値を記録します。 |
ouid | ターゲットプロセスを開始したユーザーの実際のユーザー ID を記録します。 |
path | AVC 関連の Audit イベントの場合に、システムコールに渡されたファイルまたはディレクトリーの完全パスを記録します。 |
perm | イベントの生成に使用したファイルパーミッション(読み取り、書き込み、実行、または属性の変更)を記録します。 |
pid |
The
pid フィールドセマンティクスは、このフィールドの値の起点によって異なります。
ユーザー空間から生成されるフィールドでは、このフィールドはプロセス ID を保持します。
カーネルによって生成されるフィールドでは、このフィールドはスレッド ID を保持します。スレッド ID は、シングルスレッドプロセスのプロセス ID と同じです。このスレッド ID の値は、の値とは異なることに注意してください。 pthread_t ユーザー空間で使用される ID。詳細はを参照してください。 gettid(2) の man ページ。
|
ppid | 親プロセス ID(PID)を記録します。 |
prom | ネットワーク promiscuity フラグを記録します。 |
proto | 使用されたネットワークプロトコルを記録します。このフィールドは、iptables によって生成される監査イベントに固有のフィールドです。 |
res | Audit イベントを開始した操作の結果を記録します。 |
result | Audit イベントを開始した操作の結果を記録します。 |
saddr | ソケットアドレスを記録します。 |
sauid | 送信者の Audit ログインユーザー ID を記録します。カーネルは元のユーザーしか送信していないため、この ID は D-Bus によって提供され auidます。 |
ses | 解析しているプロセスが開始したセッションのセッション ID を記録します。 |
sgid | 解析しているプロセスを開始したユーザーのセットグループ ID を記録します。 |
sig | プログラムが異常終了させるシグナルの数を記録します。通常、これはシステムの侵入の署名です。 |
subj | サブジェクトの SELinux コンテキストを記録します。サブジェクトは、プロセス、ユーザー、またはオブジェクトの動作のいずれかになります。 |
subj_clr | サブジェクトの SELinux クリアーを記録します。 |
subj_role | サブジェクトの SELinux ロールを記録します。 |
subj_sen | サブジェクトの SELinux の機密性を記録します。 |
subj_user | サブジェクトに関連するユーザーを記録します。 |
success | システムコールが成功したかどうかを記録します。 |
suid | 解析しているプロセスを開始したユーザーのセットユーザー ID を記録します。 |
syscall | カーネルに送信されたシステムコールのタイプを記録します。 |
terminal | ターミナル名を記録します(なし /dev/)。 |
tty | 制御ターミナルの名前を記録します。この値 (none) は、プロセスに制御ターミナルがない場合に使用されます。 |
uid | 解析しているプロセスを開始したユーザーの実際のユーザー ID を記録します。 |
vm | Audit イベントの発信元となる仮想マシンの名前を記録します。 |
