コミュニティ
system management
1753652 メンバー
5803 オンライン
108798 解決策
新規ポスト

監査ログのERRNOについて

 
Y_H
時折のアドバイザー

‎08-15-2006 05:12 PM

‎08-15-2006 05:12 PM

監査ログのERRNOについて

/.secure/etc/audfileに出力される監査ログのERRNOの内容を調査しております。

sys/sudit.h内の値に対応していると思っているのですが、その意味するところが分かりません。

どなたかご存知の方がいらっしゃいましたら、教えて頂けませんでしょうか?

よろしくお願い致します。
返信
2件の返信2
nadachi
レギュラーアドバイザー

‎08-18-2006 06:45 AM

‎08-18-2006 06:45 AM

監査ログのERRNOについて

man audit を見ると、audit_hdrという構造体が

定義されてます。

struct audit_hdr {

u_long  ah_time;

pid_t ah_pid;

u_short ah_error; /* success/failure */

...

また、audit recordを表示する audispコマンドには

-p Display only successful operatoins

that are recorded in the audit trail.

とあります。

 ですんで、どうも、 ah_error == 0 のレコードが

成功したイベントで、ah_error != 0 のときは、

失敗したイベントで、番号は、system callのerrno

では? とすれば、で解釈できませんか? (無論、解釈は、どんなイベントでどんなerrno

になったか、の組み合わせで行うんでしょう。)
返信
Y_H
時折のアドバイザー

‎08-18-2006 07:46 AM

‎08-18-2006 07:46 AM

監査ログのERRNOについて

回答ありがとうございます。

> ですんで、どうも、 ah_error == 0 のレコードが

> 成功したイベントで、ah_error != 0 のときは、

> 失敗したイベントで、番号は、system callのerrnoでは?

私もその後、さらに情報を探してみました。

「audisp」、「ERRNO」のキーワードで検索すると、

海外で同様な質問がされているサイトがあったようで、

やはりerrno.hだという回答だったようです。

audctlシステムコールの説明内には、errno.h内で

定義されているエラーNoがセットされるような

記述があったので、おそらくその通りなのではと…。

大変貴重なご意見ありがとうございました。
0 感謝
返信
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります