リファレンス ガイド › 設定ファイル › auditrouteflt.cfg ファイル - 監査レコード ルーティングのフィルタリング

auditrouteflt.cfg ファイル - 監査レコード ルーティングのフィルタリング

auditrouteflt.cfg ファイルでは、CA Access Control が配布サーバに送信しないレコードを定義することによって、監査レコードのルーティングをフィルタリングできます。 各行は、監査情報を除外するためのルールを表します。 ファイルのパス名は ReportAgent セクションの audit_filter 構成設定で定義されます。

注： フィルタリングされた監査イベントはローカルの監査ファイルに書き込まれますが、CA Access Control はそれを配布サーバのメッセージ キューに送信しません。 ローカルの監査ファイルから監査メッセージを除外するには、logmgr セクションの AuditFiltersFile 構成設定で定義されているファイル（デフォルトでは audit.cfg）にあるフィルタ ルールを変更します。

auditrouteflt.cfg ファイルを使用して、次の監査イベント タイプ、異なる構文別の各タイプのレコードを除去できます。

• リソース アクセス
• ネットワーク接続
• ログイン イベントおよびログアウト イベント
• セキュリティ データベース管理
• ユーザのトレース メッセージ

注：各タイプの構文の列に * がある場合には、「何らかの値」を意味します。

リソース アクセス イベントのフィルタ構文

リソース アクセス イベントに属する監査レコードのフィルタ形式は、以下のとおりです。

ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult

ClassName

アクセスされたオブジェクトが属するクラスの名前を定義します。

注： クラスの名前は大文字で入力する必要があります。

ObjectName

アクセスされたオブジェクトの名前を定義します。

ユーザ名

アクセサの名前を定義します。

ProgramPath

オブジェクトへのアクセスに使用するプログラムの名前を定義します。

アクセス

オブジェクトへの要求されたアクセスを定義します。

値は以下のとおりです。

*

アクセスのいずれかのタイプを表すワイルドカード。

Chdir

ディレクトリの変更 - アクセサは、別のディレクトリにオブジェクトを移動するように要求しました。

Chmod

モードの変更 - アクセサがオブジェクトのモードを変更する要求を行った。

Chgrp

（UNIX）グループの変更 - アクセサは、オブジェクトが属するグループを変更するように要求しました。

Chown

所有者の変更 - アクセサは、オブジェクトの所有者を変更するように要求しました。

Cre

作成 - アクセサが新しいオブジェクトを作成する要求を行った。

Del

削除 - アクセサは、オブジェクトを削除するように要求しました。

Join

グループへのユーザの追加 - アクセサは、新しいユーザをグループに追加するように要求しました。

Kill

強制終了 - アクセサは、プロセスを中止するように要求しました。

R

読み取り - アクセサは、オブジェクトへの読み取りアクセスを要求しました。

注：（UNIX）STAT_intercept が 1 に設定されている場合、このパラメータには stat interception が含まれます。

名前変更

ファイル名の変更 - アクセサは、オブジェクトのファイル名を変更するように要求しました。

Sec

ACL の変更 - アクセサは、オブジェクトの ACL を編集するように要求しました。

Utime

（UNIX）時刻の変更 - アクセサは、オブジェクトの変更日時を変更するように要求しました。

W

書き込み - アクセサは、オブジェクトへの書き込みアクセスを要求しました。

X

実行 - アクセサは、オブジェクトを実行するように要求しました。

注： 一部のクラスでは有効ではない値もあります。 たとえば、強制終了アクションは FILE クラスのオブジェクトには使用できないため、強制終了は FILE クラスでは無効な値です。 ルールの作成時に無効な値をクラスに入力すると、CA Access Control はファイルの読み取り時にそのルールを無視します。

AuthorizationResult

認証結果を定義します。

値： P （許可されました）、D （拒否されました）、*

ネットワーク接続イベントのフィルタ構文

ネットワーク接続イベントに属する監査レコードのフィルタ形式は、以下のとおりです。

{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult

HOST

HOST クラスのオブジェクト、すなわち TCP 受信接続によって生成されたレコードをルールがフィルタリングするように指定します。

TCP

TCP クラスのオブジェクト、すなわちサービス イベントとの接続によって生成されたレコードをルールがフィルタリングするように指定します。

ObjectName

アクセスされたオブジェクトの名前を定義します。 ObjectName は、サービス名またはポート番号にすることができます。

HostName

ホストの名前を定義します。 HostName は、HOST クラスのオブジェクトである必要があります。

ProgramPath

ログイン プログラムのタイプを定義します。

（Windows）送信接続では、このパラメータは接続を確立しようとするプロセスのプログラム パスを定義します。

注：このパラメータは、受信接続イベントでは何も意味がありません。 受信接続イベントによって生成された監査レコードをフィルタリングするためには、このパラメータに * を使用してください。

アクセス

試行された接続のタイプを定義します。

値は以下のとおりです。

• （HOST）*
• （TCP）R（受信接続）、W（送信接続）、*

AuthorizationResult

認証結果を定義します。

値： P （許可されました）、D （拒否されました）、*

ログイン イベントおよびログアウト イベントのフィルタ構文

ログイン イベントまたはログアウト イベントに属する監査レコードのフィルタ形式は、以下のとおりです。

LOGIN;UserName;UserId;TerminalName;LoginProgram;AuthorizationResultOrLoginType

LOGIN

ログイン イベントおよびログアウト イベントによって生成された監査レコードを、ルールによってフィルタリングするよう指定します。

ユーザ名

アクセサの名前を定義します。

UserId

アクセサのネイティブ ユーザ ID を定義します。

TerminalName

イベントが発生したターミナルを定義します。

LoginProgram

ログインまたはログアウトを試みたプログラムの名前を定義します。

AuthorizationResultorLoginType

認証結果を定義します。

値は以下のとおりです。

*

認証結果のいずれかのタイプを表すワイルドカード。

D

ログイン試行は拒否されました。

P

ログイン試行は許可されました。

O

（UNIX）アクセサはログアウトしました。

I

（UNIX） serevu デーモンは、アクセサのアカウントを無効にしました。

E

（UNIX） serevu デーモンは、アクセサのアカウントを有効にしました。

A

（UNIX）serevu デーモンまたは Pluggable Authentication Module は、不正なパスワードでログインしようとしたユーザを監査しました。

注： Windows では、ログアウト イベントを記録しません。

セキュリティ データベース管理イベントのフィルタ構文

セキュリティ データベース管理イベントに属する監査レコードのフィルタ形式は、以下のとおりです。

ADMIN;ClassName;ObjectName;UserName;EffectiveUserName;TerminalName;Command;CommandResult

ADMIN

管理者が実行したイベントによって生成された監査レコードを、ルールがフィルタリングするように指定します。

ClassName

管理者が実行するコマンドのクラスを定義します。

ObjectName

管理者のコマンドが更新したオブジェクトを定義します。

ユーザ名

コマンドを実行したユーザの名前を定義します。

EffectiveUserName

（UNIX）ルールが適用される有効なユーザの名前を定義します。

（Windows）ルールが適用されるネイティブ ユーザの名前を定義します。

TerminalName

イベントが発生したターミナルを定義します。

コマンド

管理者が実行した selang コマンドを定義します。

CommandResult

認証結果またはコマンド結果を定義します。

値：S（コマンド成功）、F（コマンド失敗）、D（コマンド拒否）、*

ユーザのトレース メッセージ イベントのフィルタ構文

ユーザのトレース メッセージ イベントに属する監査レコードのフィルタ形式は、以下のとおりです。

TRACE;TracedClassName;TracedObjectName;RealUserName;EffectiveUserName;ACUserName;AuthorizationResult;TraceMessage

TRACE

ユーザ トレース レコードをルールがフィルタリングするように指定します。

TracedClassName

ユーザがアクセスしようとしたオブジェクト クラスの名前を定義します。

注： クラスの名前は大文字で入力する必要があります。

TracedObjectName

ユーザがアクセスしようとしたオブジェクトの名前を定義します。

RealUserName

（UNIX）トレース レコードを生成した実ユーザの名前を定義します。

（Windows）トレース レコードを生成したネイティブ ユーザの名前を定義します。

EffectiveUserName

（UNIX）トレース レコードを生成した、有効なユーザの名前を定義します。

（Windows）トレース レコードを生成したネイティブ ユーザの名前を定義します。 このパラメータは、RealUserName パラメータと同一です。 このパラメータには * を使用してください。

ACUserName

イベントの許可に CA Access Control が選択したユーザ名を定義します。

AuthorizationResult

認証結果を定義します。

値： P （許可されました）、D （拒否されました）、*

TraceMessage

生成されたトレース メッセージを定義します。

例： ネットワーク接続イベントのフィルタ

• この例では、正常な受信 telnet 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。

  HOST;telnet;ca.com;*;*;P
  

• この例では、拒否された受信および送信ログイン TCP 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。

  TCP;login;ca.com;*;*;D
  

• この例では、送信 telnet 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。

  TCP;telnet;ca.com;*;W;*
  

例：ログインまたはログアウト イベントのフィルタ

• この例では、root が許可されたアカウントにログインする場合に生成されたすべての監査レコードをフィルタします。

  LOGIN;root;*;*;*;P
  

• この例では、システムの CRON プログラムによって root が正常にログインした場合に生成されたすべての監査レコードをフィルタします。

  LOGIN;root;*;*;SBIN_CRON;P
  

• この例では、_CRONJOB_ process が root ユーザをログアウトした場合に生成されたすべての監査レコードをフィルタします。

  LOGIN;root;*;_CRONJOB_;*;O
  

例：セキュリティ データベース管理イベントのフィルタ

この例では、admin01 による正常な FILE 管理コマンドによって生成されたすべての監査レコードをフィルタします。

ADMIN;FILE'*;admin01;*;*;*;S

例：ユーザのトレース メッセージ イベントのフィルタ

この例では、有効なユーザが root であり、root が FILE クラスのオブジェクトにアクセスした場合に生成されたすべてのユーザ トレース レコードをフィルタします。

TRACE;FILE;*;*;root;*;*;*

例： 監査フィルタ ポリシー

監査フィルタ ポリシーの例を以下に示します。

env config
er config auditrouteflt.cfg line+("FILE;*;*;R;P")

この例は、次の行を auditrouteflt.cfg ファイルに書き込みます。

FILE;*;*;R;P

この行は、ファイル リソースへの読み取りアクセスのためにアクセサが行った許可された試行を記録した監査レコードをフィルタします。