「SELinuxの監査ログ」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> SELinux には、2つの主要なタイプの監査イベントがあります。 '''読み方''' ;[[{{PAGENAME}}]]: __TOC__ ==...」) |
|||
| (同じ利用者による、間の2版が非表示) | |||
| 行1: | 行1: | ||
| − | |||
| − | |||
| − | |||
[[SELinux]] には、2つの主要なタイプの監査イベントがあります。 | [[SELinux]] には、2つの主要なタイプの監査イベントがあります。 | ||
'''読み方''' | '''読み方''' | ||
| − | ;[[ | + | ;[[SELinux]]:えすいーりなっくす |
__TOC__ | __TOC__ | ||
== 概要 == | == 概要 == | ||
| − | |||
[[SELinux]] には、2つの主要なタイプの監査イベントがあります。 | [[SELinux]] には、2つの主要なタイプの監査イベントがあります。 | ||
| 行19: | 行15: | ||
監査とイベントメッセージは、2つに1つの場所に保存できます。 | 監査とイベントメッセージは、2つに1つの場所に保存できます。 | ||
| − | # システムログは、 /var/log/messages にあり、 [[syslog]] ブートとランタイムイベントを含みます。 audit デーモンがロードされる前は、[[SELinux]] によって生成される AVC メッセージは、ここに保存されます。 F-12 は、 audit フレームワーク ([[auditd) を使います。しかしながら、いくつかの SELinux-aware 監査メッセージは、ここに保存したほうがよいです。 詳細な SELinux | + | # システムログは、 /var/log/messages にあり、 [[syslog]] ブートとランタイムイベントを含みます。 audit デーモンがロードされる前は、[[SELinux]] によって生成される AVC メッセージは、ここに保存されます。 F-12 は、 audit フレームワーク ([[auditd]]) を使います。しかしながら、いくつかの SELinux-aware 監査メッセージは、ここに保存したほうがよいです。 詳細な SELinux カーネルブートイベントは、 /var/log/dmesg ファイルに記録されます。 |
# 監査ログは、 /var/log/audit/audit.log です。 audit デーモンがロードされたあとは、 監査イベントは、このファイルに保存されます。SELinux システムメッセージが記録されます。 AVC 監査メッセージは、 type=AVC ではじまり、そのあとに説明が続きます。 | # 監査ログは、 /var/log/audit/audit.log です。 audit デーモンがロードされたあとは、 監査イベントは、このファイルに保存されます。SELinux システムメッセージが記録されます。 AVC 監査メッセージは、 type=AVC ではじまり、そのあとに説明が続きます。 | ||
| − | |||
== 使い方 == | == 使い方 == | ||
| − | |||
<syntaxhighlight lang="bash"> | <syntaxhighlight lang="bash"> | ||
sudo tail -f /var/log/audit/audit.log | sudo tail -f /var/log/audit/audit.log | ||
</syntaxhighlight> | </syntaxhighlight> | ||
| − | + | == audit.log == | |
| + | {|class="wikitable" | ||
| + | |+ audit.log の項目 | ||
| + | ! 項目 | ||
| + | ! 説明 | ||
| + | |- | ||
| + | | type | ||
| + | | 監査ログのタイプ (AVC: SELinux のアクセス拒否ログ) | ||
| + | |- | ||
| + | | judge | ||
| + | | アクセス許可の種類( granted, denied ) | ||
| + | |- | ||
| + | | access vector | ||
| + | | 操作に使用しようとしたアクセスベクタ (read / write) | ||
| + | |- | ||
| + | | pid | ||
| + | | プロセス番号、アクセス要求元のプロセスのプロセス番号 | ||
| + | |- | ||
| + | | comm | ||
| + | | アクセス要求元のコマンド名 | ||
| + | |- | ||
| + | | name | ||
| + | | 対象ファイル名 | ||
| + | |- | ||
| + | | dev | ||
| + | | 対象デバイス | ||
| + | |- | ||
| + | | ino | ||
| + | | 対象ファイルの inode番号 | ||
| + | |- | ||
| + | | scontext | ||
| + | | アクセスドメイン情報 | ||
| + | |- | ||
| + | | tcontext | ||
| + | | リソースラベル | ||
| + | |- | ||
| + | | tclass | ||
| + | | リソース種別 | ||
| + | |} | ||
== 関連項目 == | == 関連項目 == | ||
| − | |||
* [[SELinux]] | * [[SELinux]] | ||
* [[auditd]] | * [[auditd]] | ||
| − | * | + | * 監査ログ |
| + | * ausearch | ||
| + | <!-- | ||
| + | vim: filetype=mediawiki | ||
| + | --> | ||
2015年9月22日 (火) 16:33時点における最新版
SELinux には、2つの主要なタイプの監査イベントがあります。
読み方
- SELinux
- えすいーりなっくす
概要
SELinux には、2つの主要なタイプの監査イベントがあります。
- SELinux-aware アプリケーションイベント
- システムエラー、初期化、ポリシーのロード、 boolean ステートの変更、enforcing / permissive の設定とリラベリングのようなイベントについて、SELinux カーネルサービスと SELinux-ware アプリケーションによって生成されます。
- AVC 監査イベント
- アクセス拒否の結果、固有のイベントが監査メッセージを要求したとき(例えば、auditallow rule がポリシーによって使用されるとき)に、AVC サブシステムによって、生成されます。
監査とイベントメッセージは、2つに1つの場所に保存できます。
- システムログは、 /var/log/messages にあり、 syslog ブートとランタイムイベントを含みます。 audit デーモンがロードされる前は、SELinux によって生成される AVC メッセージは、ここに保存されます。 F-12 は、 audit フレームワーク (auditd) を使います。しかしながら、いくつかの SELinux-aware 監査メッセージは、ここに保存したほうがよいです。 詳細な SELinux カーネルブートイベントは、 /var/log/dmesg ファイルに記録されます。
- 監査ログは、 /var/log/audit/audit.log です。 audit デーモンがロードされたあとは、 監査イベントは、このファイルに保存されます。SELinux システムメッセージが記録されます。 AVC 監査メッセージは、 type=AVC ではじまり、そのあとに説明が続きます。
使い方
sudo tail -f /var/log/audit/audit.log
audit.log
| 項目 | 説明 |
|---|---|
| type | 監査ログのタイプ (AVC: SELinux のアクセス拒否ログ) |
| judge | アクセス許可の種類( granted, denied ) |
| access vector | 操作に使用しようとしたアクセスベクタ (read / write) |
| pid | プロセス番号、アクセス要求元のプロセスのプロセス番号 |
| comm | アクセス要求元のコマンド名 |
| name | 対象ファイル名 |
| dev | 対象デバイス |
| ino | 対象ファイルの inode番号 |
| scontext | アクセスドメイン情報 |
| tcontext | リソースラベル |
| tclass | リソース種別 |