「SELinuxの監査ログ」の版間の差分

2013年8月11日 (日) 23:40時点における版

SELinux には、２つの主要なタイプの監査イベントがあります。

読み方

SELinux には、２つの主要なタイプの監査イベントがあります。

SELinux-aware アプリケーションイベント
システムエラー、初期化、ポリシーのロード、 boolean ステートの変更、enforcing / permissive の設定とリラベリングのようなイベントについて、SELinux カーネルサービスと SELinux-ware アプリケーションによって生成されます。
AVC 監査イベント
アクセス拒否の結果、固有のイベントが監査メッセージを要求したとき(例えば、auditallow rule がポリシーによって使用されるとき)に、AVC サブシステムによって、生成されます。

監査とイベントメッセージは、２つに１つの場所に保存できます。

システムログは、 /var/log/messages にあり、 syslog ブートとランタイムイベントを含みます。 audit デーモンがロードされる前は、SELinux によって生成される AVC メッセージは、ここに保存されます。 F-12 は、 audit フレームワーク (auditd) を使います。しかしながら、いくつかの SELinux-aware 監査メッセージは、ここに保存したほうがよいです。詳細な SELinux カーネルブートイベントは、 /var/log/dmesg ファイルに記録されます。
監査ログは、 /var/log/audit/audit.log です。 audit デーモンがロードされたあとは、監査イベントは、このファイルに保存されます。SELinux システムメッセージが記録されます。 AVC 監査メッセージは、 type=AVC ではじまり、そのあとに説明が続きます。

sudo tail -f /var/log/audit/audit.log

audit.log の項目
項目	説明
type	監査ログのタイプ (AVC: SELinux のアクセス拒否ログ)
judge	アクセス許可の種類( granted, denied )
access vector	操作に使用しようとしたアクセスベクタ (read / write)
pid	プロセス番号、アクセス要求元のプロセスのプロセス番号
comm	アクセス要求元のコマンド名
name	対象ファイル名
dev	対象デバイス
ino	対象ファイルの inode番号
scontext	アクセスドメイン情報
tcontext	リソースラベル
tclass	リソース種別

@@ 行27: / 行27: @@
 sudo tail -f /var/log/audit/audit.log
 </syntaxhighlight>
+== audit.log ==
+{|class="wikitable"
+	|+ audit.log の項目
+		! 項目
+		! 説明
+		|-
+		| type
+		| 監査ログのタイプ (AVC: SELinux のアクセス拒否ログ)
+		|-
+		| judge
+		| アクセス許可の種類( granted, denied )
+		|-
+		| access vector
+		| 操作に使用しようとしたアクセスベクタ (read / write)
+		|-
+		| pid
+		| [[プロセス番号]]、アクセス要求元のプロセスのプロセス番号
+		|-
+		| comm
+		| アクセス要求元のコマンド名
+		|-
+		| name
+		| 対象ファイル名
+		|-
+		| dev
+		| 対象デバイス
+		|-
+		| ino
+		| 対象ファイルの [[inode番号]]
+		|-
+		| scontext
+		| アクセスドメイン情報
+		|-
+		| tcontext
+		| リソースラベル
+		|-
+		| tclass
+		| リソース種別
+		|}
 == 関連項目 ==
@@ 行33: / 行74: @@
 * [[auditd]]
 * [[監査ログ]]
+* [[ausearch]]