Solaris 10 にて、ファイルシステム監査をしようと思っています。「サーバ上のファイルに対し read, write した記録を全部取得する」ことが目的です。そこで OS の監査機能 (BSM) を使用しようとしたのですが、console からログインし、対象のファイルを cat した場合のアクセスについては監査ログが取得できるのですが、 telnet や ssh でログインしファイルを cat した場合はログが全く取得できませんでした。 /etc/security/audit_control では flags:lo,fr,fw,fc,fd,no,nt とnaflags:lo,fr,fw,fc,fd,no,nt を指定しています。何が足りないのか教えてください。

Question

3

100pt

回答の条件

コメントはまだありません

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません

zzz_1980 · Answer 1 · 2008-09-26T19:29:33+09:00

調査途中なのだけれど、

audit_user に妙なことを書いていないかどうか確認を。

「端末 ID (ポート ID、マシン ID)」 – 端末 ID は、ホスト名とインターネットアドレスで構成され、そのあとにユーザーがログインした物理デバイスを識別する一意の番号が続きます。通常、ログインはコンソールから行われ、そのコンソールデバイスに対応する番号は 0 になります。

とわざわざ記述してるのが謎。

コンソールからではない login は default で監査しないようになってるんじゃないかとか、仮想ttyが全部監査対象外になってるんじゃないかとか…

お役に立てずすみません。

hoongt · Answer 2 · 2008-09-30T04:56:12+09:00

回答（2件）