UNIX エンドポイント管理ガイド › イベントの監査 › ユーザ セッション ログ記録が機能するしくみ

ユーザ セッション ログ記録が機能するしくみ

ユーザ セッション ログ記録では、エンドポイントでのユーザ アクティビティのトレース、セッションの再生、およびユーザがセッション中に入力したコマンドの表示を行うことができます。

セッション ロガー ログは、/etc/shells ファイルにリストされたすべてのプログラムについて入力を行います。 たとえば、 /etc/shells に /usr/bin/passwd がリストされており、ユーザが自分のパスワードを変更するために passwd を使用した場合、セッション ログを表示すると seaudit ユーティリティによって変更されたパスワードが表示されます。 セッション ログ記録を実装する前に、/etc/shells ファイルを確認しておくことを推奨します。

以下の手順では、ユーザ セッション ログ記録が機能するしくみが説明されています。

1. キーボード ロガー オプションを有効にして CA Access Control をインストールします。

   CA Access Control のパラメータ ファイルをカスタマイズして、キーボード ロガーを有効にします。

   注： インストール後に seos.ini ファイルでキーボード ロガーを有効にできます。

2. CA Access Control を起動します。

   キーボード ロガー デーモン（KBLAudMngr）が実行されていることを確認します。 CA Access Control デーモンのステータスを表示するには、issec ユーティリティを使用します。

3. トレースするユーザに INTERACTIVE プロパティを割り当て、セッション ログ記録を有効にします。 以下に例を示します。
   • selang

     eu user1 audit(interactive)
     

   • CA Access Control エンドポイント管理

     ［User Properties］ウィンドウの［監査］タブの［対話式］チェックボックスをオンにします。

     CA Access Control によって、ユーザ アカウントのセッション ログ記録が有効にされます。

4. ユーザがエンドポイントにログインすると、CA Access Control によりユーザ セッションの記録が開始されます。 ユーザがエンドポイントからログアウトすると、セッションは終了します。
5. CA Access Control では、記録されたセッションが kbl.audit ログ ファイルに保存されます。 このファイルは以下のディレクトリにあります。

   /opt/CA/AccessControl/log
   

6. kbl.audit ログ ファイルの内容を表示するには、seaudit ユーティリティの -kbl コマンドを使用します。 以下に例を示します。

   ./seaudit -kbl -sid 65223 -rp
   

   注： seaudit -kbl コマンドの詳細については、「リファレンス ガイド」を参照してください。 企業内のホストからユーザ セッションを収集してレポートを生成できるように、CA Access Control エンドポイントを CA Enterprise Log Manager に統合することをお勧めします。 CA Enterprise Log Manager への統合の詳細については、「実装ガイド」を参照してください。