リファレンス ガイドユーティリティ › seaudit ユーティリティ - 監査ログ レコードの表示

前のトピック: report_agent.sh スクリプト - レポート エージェントの設定

次のトピック: sebuildla ユーティリティ - lookaside データベースの作成

seaudit ユーティリティ - 監査ログ レコードの表示

seaudit ユーティリティは、CA Access Control 監査ログ ファイルのレコードを表示します。 Windows 上で seaudit ユーティリティを実行するには、AUDITOR 属性が必要です。 UNIX 上で seaudit ユーティリティを実行するには、seos.ini 内の audir_group に属している必要があります。 パスワードが含まれる監査レコードを表示する場合、seaudit によってパスワード テキストの部分がアスタリスク(***)に置き換えられて、パスワードが保護されます。

注: コマンド スイッチおよびオプションでは、文字列マッチングが可能です。 マスクの引数を自動的に展開する UNIX シェルもあります。このようなシェルから seaudit を起動する場合は、マスクがシェルによって処理されないように、アスタリスクまたは疑問符の前に円記号(¥)を入力する必要があります。

: seaudit ユーティリティでは、トレース レコードがユーザ ID 別ではなく、ユーザ名別に表示されます。

このコマンドの形式は以下のようになります。

seaudit switch [options]
switch

seaudit ユーティリティの操作モードを定義します。 以下のいずれかを指定できます。

‑a | -all

すべてのレコードを表示します。ただし、トレース機能によって監査ログに送信されたユーザ トレース レコードは除きます。

注: UNIX で使用可能な接続された TCP レコードも表示されません。 これらのレコードを表示するには、-c オプションも指定する必要があります。

-h | -help

このユーティリティのヘルプ画面を表示します。

{‑i | -inet} host service

指定されたサービスの指定されたホストから受け取った TCP 要求の INET 監査レコードを表示します。 host および service は、seaudit が検索するホストとサービスを特定するマスクです。

UNIX 上で、接続が行われたネットワーク ID(ポート番号)を持つ TCP レコードを一覧表示するには ‑c フラグを追加します。 例:

seaudit ‑i ‑c myhost telnet
{‑l | -login} user1, user2, ... terminal

指定された端末上の、カンマで区切られた指定ユーザに関する LOGIN レコードを表示します。

userterminal はいずれもマスクです。

UNIX では、ユーザを有効化または無効化するときに serevu で作成されたレコード、および無効なパスワードを入力するときに認証デーモンで作成されたレコードも表示されます。

{‑r | -resource} class resource user1, user2, ...

カンマで区切られた指定ユーザについて、指定されたリソースの指定されたクラスに関する一般リソース監査レコードを表示します。

  • class は、アクセスされたリソースが属しているクラスを特定するマスクです。
  • resource は、アクセスされたリソースの名前を特定するマスクです。
  • user は、リソースにアクセスしたユーザの名前を特定するマスクです。
‑s | -start

CA Access Control の起動メッセージおよび停止メッセージを表示します。

‑St | ‑Stat message_number

(UNIX のみ)。 Watchdog のメッセージ番号の説明を表示します。

‑t | -table

ログ コードの表を表示します。

‑tr

アクティビティがトレース対象になっているすべてのユーザのトレース レコードを表示します。

注: トレース レコードは、ログイン セッション ID 列をデフォルトで表示します。 この列を表示しない場合は、th -format オプションを使用します。

‑trr resource

指定されたリソースのトレース レコードを表示します。

‑tru {uid1|user1}, {uid1|user2}, ...

指定されたユーザ ID またはユーザ名を持つユーザのトレース レコードを表示します。

‑u command class record user

以下のようなデータベース更新の監査レコードを表示します。

  • command は、検索対象の selang のコマンド セットを特定するマスクです。
  • class は、検索対象のクラスを特定するマスクです。
  • record は、検索対象のレコードを特定するマスクです。
  • user は、コマンドを実行したユーザを特定するマスクです。
‑w

Watchdog の監査レコードを表示します。

options

seaudit ユーティリティが情報を表示する方法を変更する、オプションの修飾子を定義します。 以下の 1 つまたは複数の修飾子を指定できます。

‑c

(UNIX のみ)。 接続された INET レコードを表示します。 これらのレコードは、セッション ID の追跡中に生成され、成功した TCP 接続のポート番号を一覧表示します。

たとえば、ユーザ(user1)が Telnet セッションを comp1 から comp2 に開きます。comp1 と comp2 の両方に CA Access Control がインストールされています。 comp2 の CA Access Control は、Telnet セッションによりログインしたユーザ(user1 以外のユーザの場合もあります)のクレデンシャルと共に確認応答を comp1 に送信するように設定(logconnected 構成設定)できます。 comp1 はこの確認応答を受け取ると、TCP-CONNECTED レコード(セッション確立レコード)を作成します。このレコードは、-c オプションを使用して表示できます。

‑detail

各レコードに関する詳細情報を表示します。

‑delim delimiter

最初のフィールドの前および残りの各フィールド間で使用する区切り文字を定義します。 たとえば、以下のコマンドにより、フィールド全体が引用符で囲まれ、各フィールドがカンマで区切られて表示されます。

seaudit ‑a ‑delim ¥”,¥”

‑delim2 delimiter

区切り文字が最初のフィールドの前に表示されないこと以外は、‑delim オプションと同じです。

-delim3 delimiter

曜日、月、年の間の区切り文字が含まれる以外は、-delim オプションと同じです。

-delim4 delimiter

-delim2 オプションと同じです。

‑ed date

終了日を指定します。 この日付より後にログに記録されたレコードは表示されません

以下の 2 つの方法のいずれかを使用して、日付を指定できます。

  • 形式 ddmmyyyy を使用します。
  • 文字列 today を使用して、今日の日付を設定します。

文字列「today」の後に「‑ (マイナス)」と数値を指定することもできます。 これにより、今日の日付から指定された日数だけ前の日付を定義できます。 たとえば today3の場合、現在の日付から 3 日前の日付を指定することを意味します。

‑et time

終了時刻を指定します。 この時刻より後にログに記録されたレコードは表示されません

以下の 2 つの方法のいずれかを使用して、時刻を指定できます。

  • 24 時間形式の hh:mm を使用します。
  • 文字列 now を使用して、現在の時刻を設定します。

    文字列「now」の後に「‑ (マイナス)」と数値を指定することもできます。 これにより、現在の時刻から指定された分数だけ前の時刻を定義できます。 たとえば now‑60 の場合、現在の時刻から 60 分(1 時間)前の時刻を指定することを意味します。 特定の日付の範囲内で時間枠を正確に定義するには、このオプションを ‑sd、‑ed、またはその両方と組み合わせて指定します。

‑f | -failure

失敗したアクセスを表示しないように指定します。

{‑fn | -file} fileName

検索対象の監査ログ ファイルの名前を指定します。

-format release

出力形式が CA Access Control リリースの形式と同じであることを指定します。

release - リリース番号を定義します。 有効な値は以下のとおりです。

  • 80sp1 - r8 SP1 の出力には、新しいリリースに存在する有効な UID 列は含まれていません。
  • 12 - r12.0 の出力には、パスワード変更レコードを表示する機能は含まれません。 トレース レコードでは、r12.0 の出力にもログイン セッション ID 情報は含まれていませんでした。
‑g | -grant

成功した(許可された)アクセスを表示しないように指定します。

‑gn | -grantnotify

通知レコードを除き、成功した(許可された)アクセスを表示しないように指定します。

-kbl -a -sid sid {-rp | -pr | -cmd | -exe | -disp}

(UNIX のみ)キー ロギング監査ファイル(kbl.audit)のコンテンツを表示するよう指定します。

-a

監査ファイル内の記録されたセッションをすべて表示します。

-sid sid

キー ロギング セッション ID を指定します。

-rp

キー ロギング セッション全体を再生します。

-pr

キー ロギング セッション全体を表示します(制御文字を除く)。

-cmd

(UNIX のみ)コマンド ラインのロギング セッション中にユーザが入力したコマンドを表示します。

-exe

ユーザがシェルで実行したコマンドの EXECARGS 詳細を表示します。

-disp

記録されたセッション期間を表示するように指定します。

注: このコマンドは、シェル bash、tcsh、csh、ksh、jsh、rsh、ash、zsh で実行できます。

‑logout

(UNIX のみ)ログアウト レコードを表示しないように指定します。

‑millennium

(UNIX のみ)年を下 2 桁ではなく 4 桁で表示するように指定します。

‑n | -netaddr

TCP/IP レコードのホスト名ではなく、インターネット アドレスが表示されるように指定します。

‑notify

NOTIFY 監査レコードが表示されないように指定します。

{‑o | -origin} host

指定された host から送信されたレコードのみが表示されるように指定します。

このオプションは、selogrcd ログ ルーティング収集デーモンで作成された統合監査ファイルからレコードを参照する場合にのみ使用できます。

‑pwa

(UNIX のみ)パスワード試行レコードが表示されないように指定します。

‑sd date

開始日を指定します。 この日付より前にログに記録されたレコードは表示されません

以下の 2 つの方法のいずれかを使用して、日付を指定できます。

  • 形式 ddmmyyyy を使用します。
  • 文字列 today を使用して、今日の日付を設定します。

文字列「today」の後に「‑ (マイナス)」と数値を指定することもできます。 これにより、今日の日付から指定された日数だけ前の日付を定義できます。 たとえば today3の場合、現在の日付から 3 日前の日付を指定することを意味します。

sessionid

ユーザ ログイン セッション ID 情報が含まれている列を表示するように指定します。 この列は、デフォルトでは非表示です。

注: このオプションは、r12.0 SP1 以上のエンドポイントでのみ有効です。

‑st time

開始時刻を指定します。 この時刻より前にログに記録されたレコードは表示されません

以下の 2 つの方法のいずれかを使用して、時刻を指定できます。

  • 24 時間形式の hh:mm を使用します。
  • 文字列 now を使用して、現在の時刻を設定します。

文字列「now」の後に「‑ (マイナス)」と数値を指定することもできます。 これにより、現在の時刻から指定された分数だけ前の時刻を定義できます。 たとえば now‑60 の場合、現在の時刻から 60 分(1 時間)前の時刻を指定することを意味します。 特定の日付の範囲内で時間枠を正確に定義するには、このオプションを ‑sd、‑ed、またはその両方と組み合わせて指定します。

‑v | -servnum

サービス名ではなく、ポート番号が表示されるように指定します。

‑warn

警告レコードが表示されないように指定します。

詳細情報:

監査レコードのイベント タイプを識別する方法

監査イベント タイプ