SELinuxの監査ログ

提供: セキュリティ
2013年6月8日 (土) 19:25時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「<!-- vim: filetype=mediawiki --> SELinux には、2つの主要なタイプの監査イベントがあります。 '''読み方''' ;[[{{PAGENAME}}]]: __TOC__ ==...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

SELinux には、2つの主要なタイプの監査イベントがあります。

読み方

SELinuxの監査ログ

概要

SELinux には、2つの主要なタイプの監査イベントがあります。

  1. SELinux-aware アプリケーションイベント
    システムエラー、初期化、ポリシーのロード、 boolean ステートの変更、enforcing / permissive の設定とリラベリングのようなイベントについて、SELinux カーネルサービスと SELinux-ware アプリケーションによって生成されます。
  2. AVC 監査イベント
    アクセス拒否の結果、固有のイベントが監査メッセージを要求したとき(例えば、auditallow rule がポリシーによって使用されるとき)に、AVC サブシステムによって、生成されます。

監査とイベントメッセージは、2つに1つの場所に保存できます。

  1. システムログは、 /var/log/messages にあり、 syslog ブートとランタイムイベントを含みます。 audit デーモンがロードされる前は、SELinux によって生成される AVC メッセージは、ここに保存されます。 F-12 は、 audit フレームワーク ([[auditd) を使います。しかしながら、いくつかの SELinux-aware 監査メッセージは、ここに保存したほうがよいです。 詳細な SELinux kaー寝るブートイベントは、 /var/log/dmesg ファイルに記録されます。
  2. 監査ログは、 /var/log/audit/audit.log です。 audit デーモンがロードされたあとは、 監査イベントは、このファイルに保存されます。SELinux システムメッセージが記録されます。 AVC 監査メッセージは、 type=AVC ではじまり、そのあとに説明が続きます。

使い方

sudo tail -f /var/log/audit/audit.log

関連項目




スポンサーリンク