auditdとは？セキュリティを守る監査ツールauditdの基本を徹底解説共起語・同意語・対義語も併せて解説！

この記事を書いた人

高岡智則

年齢：33歳性別：男性職業：Webディレクター（兼ライティング・SNS運用担当）居住地：東京都杉並区・永福町の1LDKマンション出身地：神奈川県川崎市身長：176cm 体系：細身〜普通（最近ちょっとお腹が気になる）血液型：A型誕生日：1992年11月20日最終学歴：明治大学・情報コミュニケーション学部卒通勤：京王井の頭線で渋谷まで（通勤20分）家族構成：一人暮らし、実家には両親と2歳下の妹恋愛事情：独身。彼女は2年いない（本人は「忙しいだけ」と言い張る）

auditdとは？

auditd は Linux の監査デーモンです。監査デーモンはシステム上で起こる出来事を記録する役割を持ち、後から何が起きたのかを確認できるようにします。職場のサーバーや自宅の Linux マシンでも使われ、誰が何をしたのか、いつ実行されたのかを追跡するのに役立ちます。

auditdがどんな場面で役立つのか

不正な操作を検知する、設定変更を記録する、重要ファイルのアクセスを監視する、など、セキュリティを高めるための道具として活躍します。

基本的な仕組み

監査はカーネルの監査機能と連携して動きます。auditd はこの監査データを受け取り、規則(rule)に従ってイベントを収集・保存します。ルールとは「どのファイルやどの操作を記録するか」という指示のことです。

導入と設定の基本

導入の基本は auditd のインストール、起動の設定、監査ルールの追加 の3つです。代表的な手順は以下のとおりです。

1) パッケージをインストールする。例: apt なら「sudo apt-get install auditd」、RedHat系なら「sudo yum install audit」。

2) サービスを有効化して起動する。例: 「sudo systemctl enable auditd」「sudo systemctl start auditd」。

3) 監査ルールを設定する。/etc/audit/audit.rules というファイルに記述します。

基本的な監査ルールの例

<th>ルール

意味
-a always,exit -F arch=b64 -S execve -k exec	実行ファイルの呼び出しを監視
-w /etc -p wa -k etc_files	/etc 配下のファイルの変更を監視
-w /var/log -p wa -k log	ログディレクトリへの変更を監視

これらのルールを追加すると、実行したコマンド、ファイルの読み書き、アクセスの記録が残ります。ログは通常 /var/log/audit/ ディレクトリに格納されます。

ログの読む方法

監査データを読み出すには ausearch や aureport などのツールを使います。例: 「ausearch -k exec」で「exec」というキーワードのイベントを検索できます。

運用のコツと注意点

監査ルールは最小限から始めることが大切です。最初から大量のルールを入れると、記録が増えすぎて管理が大変になります。必要な時にルールを追加・削除する運用を心がけましょう。

よくある誤解

auditd は「いきなり全てを記録する魔法のツール」ではありません。正しく使うには、監査したい対象を絞り、どのイベントを重要視するかを決めることが重要です。

auditdの関連サジェスト解説

auditd.service とは: auditd.service とは、Linux の監査機能を動かす systemd サービスの名称です。auditd はカーネルの監査機能（Audit Subsystem）が生み出すイベントを収集・記録・管理するデーモンで、誰が何をしたかといったセキュリティ関連の出来事を追跡します。auditd.service はこの auditd デーモンを起動・停止・自動起動設定を行う役割を持つ、systemd のサービス単位です。普段は /var/log/audit/audit.log に監査ログを保存します。監査ルールは /etc/audit/audit.rules などの設定ファイル、または /etc/audit/rules.d ディレクトリ内のファイルで指定し、ファイルの読み書き、実行コマンド、ログイン、sudo の使用など、重要なイベントを記録するようにします。kernel が監査サブシステムをサポートし、適切な設定が施されていることが前提です。導入時にはパッケージのインストールや設定ファイルの用意が必要なことが多く、Red Hat 系なら audit、Debian 系なら auditd のパッケージを導入します。設定を適用するには auditd サービスを再起動します。ログの検索には ausearch、集計には aureport などのツールが役立ち、監査ルールを適切に設計して過剰なログを避けつつ必要なイベントを見逃さない運用を目指します。なお、コンテナ環境では制約があり、必ずしも通常の監査が機能しない場合がある点にも注意しましょう。
linux auditd とは: linux auditd とは、Linux システムの動作を監視して記録するためのデーモンです。auditd は監査サブシステムの中核で、誰がいつどのファイルにアクセスしたか、どのプログラムがどの操作を実行したかといった出来事をログとして残します。企業のサーバーや学校の個人コンピュータなど、セキュリティや法令遵守の証跡を作る場面で役立ちます。仕組みとしては、事前にルール（監視対象や条件を決める設定）を設定します。ルールは /etc/audit/audit.rules や rules.d ディレクトリに置くことが多く、これに基づいてファイル監視やシステムコールの監視が行われます。イベントが発生すると、定義された場所にログが書き出されます。ログは /var/log/audit/audit.log などに保存され、ausearch や aureport といったツールで検索・分析できます。始め方としては、まず auditd をインストールします。ディストリビューションによりコマンドは異なりますが、Debian系なら sudo apt-get install auditd、Red Hat系なら sudo yum install audit といった具合です。インストール後は sudo systemctl enable --now auditd で起動します。設定ファイルには /etc/audit/auditd.conf や /etc/audit/rules.d などがあり、ルールを追加して監視対象を絞ることが大切です。実践的な例として、よく使われる監視として /etc/shadow の監視があります。sudo auditctl -w /etc/shadow -p rw- -k shadow_change のようにファイルの読み書きを監視します（-a always,exit でシステムコールを監視するルールも作成できます）。ルールは一時的なものなので、再起動後も有効にしたい場合は /etc/audit/rules.d に恒久的なファイルを作成します。監視ルールを適用した後は、ausearch -k shadow_change などでイベントを調べ、 aureport で統計的なレポートを作成できます。注意点として、監査は強力な分だけログ量が多くなり、パフォーマンスやプライバシーに影響します。自分の環境に合わせて監視範囲を絞り、定期的にログを整理する習慣を持つとよいです。

auditdの同意語

監査デーモン: システムの監査イベントを記録・監視するために常駐する背景プロセス。auditd はこのデーモンの代表例で、ファイルの変更やユーザー操作などを監視します。
Audit Daemon (auditd): 英語表現の名称で、Linux で監査イベントを収集・記録するデーモン。公式ドキュメントや英語記事でよく使われます。
Linux Audit Daemon: Linux 環境で動く監査デーモンのこと。auditd の別称・表現として一般的に用いられます。
監査イベント記録デーモン: 監査イベントを検知・収集し、ログとして保存するデーモンの意味。監査機能の中心的役割を表現しています。
監査ログ管理デーモン: 監査ログの生成・整理・保存を担当するデーモン。監査データの管理を担う役割を指します。
セキュリティ監査デーモン: セキュリティ関連イベントの監視・記録を担うデーモン。auditd の主要機能を示す表現です。
Linuxセキュリティ監査デーモン: Linux 上でセキュリティイベントの監査を行うデーモン。特定の用途を強調する言い換えです。
Linux監査機能デーモン: Linux の監査機能を提供・実現するデーモン。auditd の技術的役割を指す表現です。

auditdの対義語・反対語

監査停止: auditdが動作を停止し、監査を実行しない状態。ログの収集が行われず、証跡が残りにくくなる。
非監査: 監査機能が無効化・欠如している状態。監査ログが作成されず、監視の前提が崩れる。
ログ未収集: 監査ログが収集・保存されていない状態。後からの検証や追跡が難しくなる。
ログ記録なし: 監査データの記録が行われていない状態。審査・監査の証跡が残らない。
無監視: システム全体の監視が行われていない状態。異常を検知・通知できずセキュリティリスクが高まる。
監視なし: リアルタイム監視やイベント追跡が欠如している状態。異常対応が遅れる可能性がある。
監査機能欠如: システムに監査機能そのものが搭載されていない、または利用されていない状態。
監査ポリシーなし: 監査で記録するイベントの範囲や方針を定めるポリシーが設定されていない状態。

auditdの共起語

auditd: Linux の監査デーモン。監査イベントを収集・記録する中心的なコンポーネントです。
auditctl: 監査ルールを設定・管理するコマンド。監視対象のファイルやシステムコールを定義します。
ausearch: 監査ログを検索・抽出するツール。イベントの絞り込み条件を使って後から調査します。
aureport: 監査ログの集計・日次・イベント種別別のレポートを作成します。
audisp: 監査イベントをプラグインへ配送するディスパッチャ。外部ログやSIEMへ転送する際に使われます。
auditd.conf: auditd の設定ファイル。ログの出力先や動作タイミングなどを設定します。
rules.d: 監査ルールを格納するディレクトリ。複数のルールファイルで構成します。
audit.log: 監査イベントのデフォルトのログファイル名。実際のパスは /var/log/audit/audit.log が多いです。
/var/log/audit/audit.log: 監査イベントの実際の保存先ファイルパス。
execve: 新しく実行されるプログラムを表すシステムコール。典型的な監視対象です。
syscall: システムコール。監査ルールの中心的な対象となるイベントのひとつです。
watch: ファイルまたはディレクトリの変更を監視するルールの指定方法（-w）。
path: 監視対象のファイル・ディレクトリのパス情報。
auid: 監査イベントを発生させたユーザーの識別子。セッションやユーザーの追跡に使われます。
SELinux: セキュリティポリシーの一つ。監査と組み合わせてセキュリティ監視を強化します。
PCI-DSS: PCI-DSS などの規格要件にログの保持・監視が求められることがあります。
compliance: 法令・業界基準への適合を目指す際、監査ログの整備が重要です。
SIEM: Security Information and Event Management。監査ログの集中管理・分析を行うシステムです。
log_file: 監査ログを出力するファイルのパスを設定する auditd.conf の項目。
log_format: 監査ログの出力形式。デフォルトは RAW ですが、CSV などにも設定可能です。
log_target: 監査ログの出力先。FILE か SYSLOG などを指定します。
flush: イベントのディスク書き込みタイミングを制御する設定。即時かバッファリングかを決めます。
freq: 監査イベントをディスクへフラッシュする頻度を秒単位で設定します。
space_left_action: ディスクの空き容量が少なくなった際の自動対応を指定します（例: halt, suspend）。
admin_space_left_action: 空き容量閾値下回時の管理者向きの対応を指定します。
max_log_file: 監査ログファイルの最大サイズや数を制御します。
max_log_file_action: 最大ログファイル到達時の処理を指定します。
audisp-plugins: audisp のプラグイン群。外部システムへイベントを送る際に利用します。
kernel: Linux カーネルの監査サブシステム。監査イベントは主にカーネル側で生成されます。
audispd: auditd からのイベントをプラグインへ配送するデーモン。

auditdの関連用語

auditd: Linuxの監査デーモン。kernelからの監査イベントを受け取り、ルールに従ってログを書き出したりプラグインへ転送したりする常駐プロセス。
Linux監査フレームワーク: Linuxカーネルに組み込まれた監査機能と、それを利用するユーザーランドツールの総称。セキュリティイベントを記録・後から確認できる仕組み。
audit.rules: 監査対象のイベントを決定するルールを記述するファイル。どのファイルやシステムコールを監査するかを指定する。
/etc/audit/audit.rules: 監査ルールの主な配置先。ここに直接記述するか、augenrulesでrules.dのファイルを統合して使う。
/etc/audit/rules.d: 監査ルールを細かく分割して管理するディレクトリ。augenrulesがこのディレクトリを参照してaudit.rulesを作成する。
augenrules: rules.d内のルールを統合してaudit.rulesに書き出すツール。新しいディレクトリ型ルールの運用で便利。
auditctl: 監査ルールをその場で追加・削除・表示するコマンド。動的に監査設定を変更できる。
ausearch: 監査ログを日付・イベント種別・ユーザーなどの条件で検索するコマンド。過去のイベントを素早く絞り込める。
aureport: 監査ログを集計してレポートとして出力するコマンド。イベント件数やユーザー別の統計などを確認できる。
audisp: 監査イベントをプラグインへ転送する中継デーモン。ログの配送先を拡張できる。
audispd: audispの旧称・旧実装名。現在の実装とほぼ同義。
audisp-plugins: audispが利用するプラグイン群。syslog送信、メール通知、JSON出力などを追加可能。
/var/log/audit/audit.log: 監査イベントを記録するデフォルトのログファイル。実際の監査データが格納される場所。
kernel監査サブシステム: Linuxカーネルが生成する監査イベントの出どころ。auditdはこのイベントを受け取って処理する。
ファイル監視: 特定ファイルの変更やアクセスを監査するルール。-wでパスを監視する設定のこと。
システムコール監査: 実行されるシステムコールを監査する主要な機能。-Sで指定する対象が中心。
AVC拒否イベント: SELinuxが拒否したアクセスを監査ログに残すイベント。セキュリティポリシーの監視に役立つ。
AUID: 監査用のユーザーID。誰がどのセッションで操作したかを追跡する識別子。
loginuid: ログイン時のユーザー識別子。セッションの起点となるユーザー情報を表すフィールド。
watch: ファイルパスを監視する監査ルール。-wオプションで設定する機能。
キー（-k）: 監査イベントに任意のタグを付ける仕組み。後でausearchや aureportで絞り込みに使える。
arch: 監査ルールで指定するCPUアーキテクチャ。例: b64（64ビット）、b32（32ビット）など。
execveルール: 実行ファイルの呼び出し（execve）を監査対象とするルールの典型例。
log_format: 監査ログの出力形式。RAW形式と拡張形式（ENRICHED）などが選択されることがある。
auditd.conf: auditdの総合設定ファイル。ログファイル先、動作モード、フラッシュ方針などを設定する。
logrotate: 監査ログのファイルを一定期間・容量で回転させる仕組み。長期運用に必要。
audisp-remote: 監査イベントをリモートのサーバへ転送するプラグイン。集中管理に向く。
例: 実例ルール: 実務で使われる監査ルールの例。例: -a always,exit -F arch=b64 -S execve -k shell
RAWログ: 生データ形式の監査ログ。解析前の未加工データ。