System Management
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

監査ログのERRNOについて

Y_H
時折のアドバイザー

監査ログのERRNOについて

/.secure/etc/audfileに出力される監査ログのERRNOの内容を調査しております。

sys/sudit.h内の値に対応していると思っているのですが、その意味するところが分かりません。

どなたかご存知の方がいらっしゃいましたら、教えて頂けませんでしょうか?

よろしくお願い致します。
2 件の返信
nadachi
レギュラーアドバイザー

監査ログのERRNOについて

man audit を見ると、audit_hdrという構造体が

定義されてます。

struct audit_hdr {

u_long  ah_time;

pid_t ah_pid;

u_short ah_error; /* success/failure */

...

また、audit recordを表示する audispコマンドには

-p Display only successful operatoins

that are recorded in the audit trail.

とあります。

 ですんで、どうも、 ah_error == 0 のレコードが

成功したイベントで、ah_error != 0 のときは、

失敗したイベントで、番号は、system callのerrno

では? とすれば、で解釈できませんか? (無論、解釈は、どんなイベントでどんなerrno

になったか、の組み合わせで行うんでしょう。)

Y_H
時折のアドバイザー

監査ログのERRNOについて

回答ありがとうございます。

> ですんで、どうも、 ah_error == 0 のレコードが

> 成功したイベントで、ah_error != 0 のときは、

> 失敗したイベントで、番号は、system callのerrnoでは?

私もその後、さらに情報を探してみました。

「audisp」、「ERRNO」のキーワードで検索すると、

海外で同様な質問がされているサイトがあったようで、

やはりerrno.hだという回答だったようです。

audctlシステムコールの説明内には、errno.h内で

定義されているエラーNoがセットされるような

記述があったので、おそらくその通りなのではと…。

大変貴重なご意見ありがとうございました。