付録E.4 UNIXシステムログの監査ログ出力情報

ここでは,UNIXシステムログの監査ログ出力情報を次の表に示します。

表E-8 UNIXシステムログの監査ログ出力情報

項番UNIXシステムログ共通部固有部
ログ内容監査ログIDメッセージIDコンポーネント名プロセスID監査事象結果opbefore:uidafter:uid
1ログインの成功※11~2147483647※20001LOGINログ中の値を利用SuccessLogin出力項目名ごとなし出力項目名ごとなし
2ログアウト※11~2147483647※20002LOGINログ中の値を利用SuccessLogout出力項目名ごとなし出力項目名ごとなし
3ログインの失敗※31~2147483647※20003LOGINログ中の値を利用FailureLogin出力項目名ごとなし出力項目名ごとなし
4suコマンドの成功1~2147483647※20004SU-1Successsu変更前ユーザID変更後ユーザID
5suコマンドの失敗1~2147483647※20005SU-1Failuresu変更前ユーザID変更後ユーザID
注※1
収集対象とする製品によってはログアウトの情報を収集できない場合があります。また,ログイン,ログアウトの情報が二つ収集されることがあります。さらに,使用しているOSによって出力するユーザ名やリモートホスト名の最大文字数が異なります。このためユーザ名やリモートホスト名が正しく出力されないことがあります。
注※2
監査ログIDは,項番1と2,項番3,項番4と5のそれぞれで通番となります。
注※3
収集対象となる製品によってはログインの失敗情報を収集できないことがあります。

なお,次の表に示す項目はUNIXシステムログのすべてのログで共通です。

表E-9 UNIXシステムログの監査ログ出力情報の共通項目

共通部固有部
日時プログラム名発生場所監査事象種別サブジェクト種別サブジェクト情報objmsg
ログ中の値を利用OS名
  • AIX
  • HP-UX
  • Solaris
  • Linux
ログ取得サーバ名AuthenticationユーザID(uid)ユーザ名※1OSDevice_name※2
注※1
ユーザ名に制御文字が含まれる場合,制御文字は空白で出力されます。
注※2
Device_nameは次の例のように出力されます。
デバイス名:/dev/pts/tb
出力情報:pts/tbまたはtb
また,Device_nameには,「ftpxxxx」,「ftpdxxxx」,「FTP」,「rshxxxx」,「sshxxxx」などのデバイス名以外の情報が出力されます。OSによって出力される情報の形式が異なります。なお,「xxxx」は任意の半角英数字です。

注意
sulogを収集する場合,OSが出力するログには年の情報は出力されません。UNIXシステムログ変換コマンドでは,次の方法で年の情報を追加して出力します。
「ログ中の月<=UNIXシステムログの変換を実施した月」の場合
「変換を実施した時点の年」の情報を追加。
「ログ中の月>UNIXシステムログの変換を実施した月」の場合
「変換を実施した時点の年 - 1」の情報を追加。
例えば,ログ中の月が11月で,2007年10月にUNIXログ変換を実施した場合,2006年11月として情報が追加されます。なお,ファイルに1年以上のデータが蓄積されていた場合,年が正しく設定されないことがあります。