「SELinuxの監査ログ」の版間の差分

提供: セキュリティ
移動: 案内検索
 
(同じ利用者による、間の1版が非表示)
行1: 行1:
<!--
 
vim: filetype=mediawiki
 
-->
 
 
[[SELinux]] には、2つの主要なタイプの監査イベントがあります。
 
[[SELinux]] には、2つの主要なタイプの監査イベントがあります。
  
 
'''読み方'''
 
'''読み方'''
;[[{{PAGENAME}}]]:
+
;[[SELinux]]:えすいーりなっくす
 
__TOC__
 
__TOC__
  
 
== 概要 ==
 
== 概要 ==
 
 
[[SELinux]] には、2つの主要なタイプの監査イベントがあります。
 
[[SELinux]] には、2つの主要なタイプの監査イベントがあります。
  
行21: 行17:
 
# システムログは、 /var/log/messages にあり、 [[syslog]] ブートとランタイムイベントを含みます。 audit デーモンがロードされる前は、[[SELinux]] によって生成される AVC メッセージは、ここに保存されます。 F-12 は、 audit フレームワーク ([[auditd]]) を使います。しかしながら、いくつかの SELinux-aware 監査メッセージは、ここに保存したほうがよいです。 詳細な SELinux カーネルブートイベントは、 /var/log/dmesg ファイルに記録されます。
 
# システムログは、 /var/log/messages にあり、 [[syslog]] ブートとランタイムイベントを含みます。 audit デーモンがロードされる前は、[[SELinux]] によって生成される AVC メッセージは、ここに保存されます。 F-12 は、 audit フレームワーク ([[auditd]]) を使います。しかしながら、いくつかの SELinux-aware 監査メッセージは、ここに保存したほうがよいです。 詳細な SELinux カーネルブートイベントは、 /var/log/dmesg ファイルに記録されます。
 
# 監査ログは、 /var/log/audit/audit.log です。 audit デーモンがロードされたあとは、 監査イベントは、このファイルに保存されます。SELinux システムメッセージが記録されます。 AVC 監査メッセージは、 type=AVC ではじまり、そのあとに説明が続きます。
 
# 監査ログは、 /var/log/audit/audit.log です。 audit デーモンがロードされたあとは、 監査イベントは、このファイルに保存されます。SELinux システムメッセージが記録されます。 AVC 監査メッセージは、 type=AVC ではじまり、そのあとに説明が続きます。
 
 
== 使い方 ==
 
== 使い方 ==
 
 
<syntaxhighlight lang="bash">
 
<syntaxhighlight lang="bash">
 
sudo tail -f /var/log/audit/audit.log
 
sudo tail -f /var/log/audit/audit.log
 
</syntaxhighlight>
 
</syntaxhighlight>
 
+
== audit.log ==
 +
{|class="wikitable"
 +
|+ audit.log の項目
 +
! 項目
 +
! 説明
 +
|-
 +
| type
 +
| 監査ログのタイプ (AVC: SELinux のアクセス拒否ログ)
 +
|-
 +
| judge
 +
| アクセス許可の種類( granted, denied )
 +
|-
 +
| access vector
 +
| 操作に使用しようとしたアクセスベクタ (read / write)
 +
|-
 +
| pid
 +
| プロセス番号、アクセス要求元のプロセスのプロセス番号
 +
|-
 +
| comm
 +
| アクセス要求元のコマンド名
 +
|-
 +
| name
 +
| 対象ファイル名
 +
|-
 +
| dev
 +
| 対象デバイス
 +
|-
 +
| ino
 +
| 対象ファイルの inode番号
 +
|-
 +
| scontext
 +
| アクセスドメイン情報
 +
|-
 +
| tcontext
 +
| リソースラベル
 +
|-
 +
| tclass
 +
| リソース種別
 +
|}
 
== 関連項目 ==
 
== 関連項目 ==
 
 
* [[SELinux]]
 
* [[SELinux]]
 
* [[auditd]]
 
* [[auditd]]
* [[監査ログ]]
+
* 監査ログ
 +
* ausearch
 +
<!--
 +
vim: filetype=mediawiki
 +
-->

2015年9月22日 (火) 16:33時点における最新版

SELinux には、2つの主要なタイプの監査イベントがあります。

読み方

SELinux
えすいーりなっくす

概要

SELinux には、2つの主要なタイプの監査イベントがあります。

  1. SELinux-aware アプリケーションイベント
    システムエラー、初期化、ポリシーのロード、 boolean ステートの変更、enforcing / permissive の設定とリラベリングのようなイベントについて、SELinux カーネルサービスと SELinux-ware アプリケーションによって生成されます。
  2. AVC 監査イベント
    アクセス拒否の結果、固有のイベントが監査メッセージを要求したとき(例えば、auditallow rule がポリシーによって使用されるとき)に、AVC サブシステムによって、生成されます。

監査とイベントメッセージは、2つに1つの場所に保存できます。

  1. システムログは、 /var/log/messages にあり、 syslog ブートとランタイムイベントを含みます。 audit デーモンがロードされる前は、SELinux によって生成される AVC メッセージは、ここに保存されます。 F-12 は、 audit フレームワーク (auditd) を使います。しかしながら、いくつかの SELinux-aware 監査メッセージは、ここに保存したほうがよいです。 詳細な SELinux カーネルブートイベントは、 /var/log/dmesg ファイルに記録されます。
  2. 監査ログは、 /var/log/audit/audit.log です。 audit デーモンがロードされたあとは、 監査イベントは、このファイルに保存されます。SELinux システムメッセージが記録されます。 AVC 監査メッセージは、 type=AVC ではじまり、そのあとに説明が続きます。

使い方

sudo tail -f /var/log/audit/audit.log

audit.log

audit.log の項目
項目 説明
type 監査ログのタイプ (AVC: SELinux のアクセス拒否ログ)
judge アクセス許可の種類( granted, denied )
access vector 操作に使用しようとしたアクセスベクタ (read / write)
pid プロセス番号、アクセス要求元のプロセスのプロセス番号
comm アクセス要求元のコマンド名
name 対象ファイル名
dev 対象デバイス
ino 対象ファイルの inode番号
scontext アクセスドメイン情報
tcontext リソースラベル
tclass リソース種別

関連項目