참조 안내서 › 구성 파일 › auditrouteflt.cfg 파일 - 감사 레코드 라우팅 필터링

auditrouteflt.cfg 파일 - 감사 레코드 라우팅 필터링

auditrouteflt.cfg 파일은 CA Access Control에서 배포 서버로 보내지 않아야 하는 레코드를 정의하여 감사 레코드 라우팅을 필터링합니다. 각 줄은 감사 정보를 필터링하는 하나의 규칙을 나타냅니다. 파일 경로 이름은 ReportAgent 섹션의 audit_filter 구성 설정에 의해 정의됩니다.

참고: 필터링된 감사 이벤트는 로컬 감사 파일에 기록되지만 CA Access Control은 이 이벤트를 배포 서버의 메시지 큐로 보내지 않습니다. 로컬 감사 파일에서 감사 메시지를 필터링하려면 logmgr 섹션의 AuditFiltersFile 구성 설정(기본적으로 audit.cfg)에 의해 정의된 파일의 필터 규칙을 수정합니다.

auditrouteflt.cfg 파일을 사용하여 각각 다른 구문으로 다음 감사 이벤트 유형의 레코드를 필터링할 수 있습니다.

• 리소스 액세스
• 네트워크 연결
• 로그인 및 로그아웃 이벤트
• 보안 데이터베이스 관리
• 사용자에 대한 추적 메시지

참고: 각 구문 유형에서 열에 표시된 *는 "모든 값"을 나타냅니다.

리소스 액세스 이벤트 필터 구문

리소스 액세스 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.

ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult

ClassName

액세스한 개체가 속하는 클래스의 이름을 정의합니다.

참고: 클래스 이름은 대문자로 입력해야 합니다.

ObjectName

액세스한 개체의 이름을 정의합니다.

UserName

접근자의 이름을 정의합니다.

ProgramPath

개체를 액세스하는 데 사용된 프로그램의 이름을 정의합니다.

액세스

개체에 대해 요청된 액세스를 정의합니다.

값:

*

모든 유형의 액세스를 나타내는 와일드카드입니다.

Chdir

디렉터리 변경 - 접근자가 개체를 다른 디렉터리로 이동하도록 요청했습니다.

Chmod

모드 변경 - 접근자가 개체 모드를 변경하도록 요청했습니다.

Chgrp

(UNIX) 그룹 변경 - 접근자가 개체가 속하는 그룹을 변경하도록 요청했습니다.

Chown

소유자 변경 - 접근자가 개체의 소유자를 변경하도록 요청했습니다.

Cre

만들기 - 접근자가 새 개체를 만들도록 요청했습니다.

Del

삭제 - 접근자가 개체를 삭제하도록 요청했습니다.

Join

사용자를 그룹에 가입 - 접근자가 새 사용자를 그룹에 추가하도록 요청했습니다.

Kill

종료 - 접근자가 프로세스를 종료하도록 요청했습니다.

R

읽기 - 접근자가 개체에 대한 읽기 권한을 요청했습니다.

참고: (UNIX) STAT_intercept가 1로 설정된 경우에는 이 매개 변수에 stat 차단이 포함됩니다.

Rename

파일 이름 변경 - 접근자가 개체의 파일 이름을 변경하도록 요청했습니다.

Sec

ACL 변경 - 접근자가 개체의 ACL을 편집하도록 요청했습니다.

Utime

(UNIX) 시간 변경 - 접근자가 개체의 수정 시간을 변경하도록 요청했습니다.

W

쓰기 - 접근자가 개체에 대한 쓰기 권한을 요청했습니다.

X

실행 - 접근자가 개체를 실행하도록 요청했습니다.

참고: 일부 클래스에 유효하지 않은 값도 있습니다. 예를 들어 FILE 클래스의 개체에는 kill 동작을 사용할 수 없으므로 kill은 FILE 클래스에 유효하지 않은 값입니다. 규칙을 작성할 때 클래스에 유효하지 않은 값을 입력하면 CA Access Control에서 파일을 읽을 때 해당 규칙을 무시합니다.

AuthorizationResult

권한 부여 결과를 정의합니다.

값: P(허용됨), D(거부됨), *

네트워크 연결 이벤트 필터 구문

네트워크 연결 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.

{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult

HOST

규칙에서 HOST 클래스의 개체에 의해 생성된 레코드, 즉 들어오는 TCP 연결을 필터링하도록 지정합니다.

TCP

규칙에서 TCP 클래스의 개체에 의해 생성된 레코드, 즉 서비스 이벤트와의 연결을 필터링하도록 지정합니다.

ObjectName

액세스한 개체의 이름을 정의합니다. ObjectName은 서비스 이름이나 포트 이름일 수 있습니다.

HostName

호스트의 이름을 정의합니다. HostName은 HOST 클래스의 객체여야 합니다.

ProgramPath

로그인 프로그램 유형을 정의합니다.

(Windows) 나가는 연결에 대해 이 매개 변수는 연결 설정을 시도하는 프로세스의 프로그램 경로를 정의합니다.

참고: 이 매개 변수는 들어오는 연결 이벤트에는 의미가 없습니다. 들어오는 연결 이벤트에 의해 생성된 감사 레코드를 필터링하려면 이 매개 변수에 대해 *를 사용합니다.

액세스

시도된 연결 유형을 정의합니다.

값:

• (HOST) *
• (TCP) R(들어오는 연결), W(나가는 연결), *

AuthorizationResult

권한 부여 결과를 정의합니다.

값: P(허용됨), D(거부됨), *

로그인 및 로그아웃 이벤트 필터 구문

로그인 또는 로그아웃 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.

LOGIN;UserName;UserId;TerminalName;LoginProgram;AuthorizationResultOrLoginType

LOGIN

규칙에서 로그인 및 로그아웃 이벤트에 의해 생성된 감사 레코드를 필터링하도록 지정합니다.

UserName

접근자의 이름을 정의합니다.

UserId

접근자의 기본 사용자 ID를 정의합니다.

TerminalName

이벤트가 발생한 터미널을 정의합니다.

LoginProgram

로그인 또는 로그아웃을 시도한 프로그램의 이름을 정의합니다.

AuthorizationResultorLoginType

권한 부여 결과를 정의합니다.

값:

*

모든 유형의 권한 부여 결과를 나타내는 와일드카드입니다.

D

로그인 시도가 거부되었습니다.

P

로그인 시도가 허용되었습니다.

O

(UNIX) 접근자가 로그아웃했습니다.

-I

(UNIX) serevu 데몬이 접근자의 계정을 해지했습니다.

E

(UNIX) serevu 데몬이 접근자의 계정을 설정했습니다.

A

(UNIX) serevu 데몬 또는 "PAM(플러그형 인증 모듈)"이 잘못된 암호를 사용한 사용자의 로그인 시도를 감사했습니다.

참고: Windows에서는 로그아웃 이벤트를 기록하지 않습니다.

보안 데이터베이스 관리 이벤트 필터 구문

보안 데이터베이스 관리 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.

ADMIN;ClassName;ObjectName;UserName;EffectiveUserName;TerminalName;Command;CommandResult

ADMIN

규칙에서 관리자가 수행한 이벤트에 의해 생성된 감사 레코드를 필터링하도록 지정합니다.

ClassName

관리자가 명령을 실행하는 클래스를 정의합니다.

ObjectName

관리자의 명령이 업데이트한 개체를 정의합니다.

UserName

명령을 실행한 사용자의 이름을 정의합니다.

EffectiveUserName

(UNIX) 규칙이 적용되는 유효 사용자의 이름을 정의합니다.

(Windows) 규칙이 적용되는 기본 사용자의 이름을 정의합니다.

TerminalName

이벤트가 발생한 터미널을 정의합니다.

명령

관리자가 실행한 selang 명령을 정의합니다.

CommandResult

권한 부여 또는 명령 결과를 정의합니다.

값: S(명령 성공), F(명령 실패), D(명령 거부), *

사용자에 대한 추적 메시지 이벤트 필터 구문

사용자에 대한 추적 메시지 이벤트에 속하는 감사 레코드는 다음과 같은 필터 형식을 갖습니다.

TRACE;TracedClassName;TracedObjectName;RealUserName;EffectiveUserName;ACUserName;AuthorizationResult;TraceMessage

TRACE

규칙에서 사용자 추적 레코드를 필터링하도록 지정합니다.

TracedClassName

사용자가 액세스를 시도한 개체 클래스의 이름을 정의합니다.

참고: 클래스 이름은 대문자로 입력해야 합니다.

TracedObjectName

사용자가 액세스를 시도한 개체의 이름을 정의합니다.

RealUserName

(UNIX) 추적 레코드를 생성한 실제 사용자의 이름을 정의합니다.

(Windows) 추적 레코드를 생성한 기본 사용자의 이름을 정의합니다.

EffectiveUserName

(UNIX) 추적 레코드를 생성한 유효 사용자의 이름을 정의합니다.

(Windows) 추적 레코드를 생성한 기본 사용자의 이름을 정의합니다. 이 매개 변수는 RealUserName 매개 변수와 같습니다. 이 매개 변수에는 *를 사용합니다.

ACUserName

CA Access Control에서 이벤트 권한 부여를 위해 선택한 사용자 이름을 정의합니다.

AuthorizationResult

권한 부여 결과를 정의합니다.

값: P(허용됨), D(거부됨), *

TraceMessage

생성된 추적 메시지를 정의합니다.

예: 네트워크 연결 이벤트 필터링

• 이 예에서는 들어오는 성공한 텔넷 연결에 의해 생성된 ca.com 호스트의 모든 감사 레코드를 필터링합니다.

  HOST;telnet;ca.com;*;*;P
  

• 이 예에서는 들어오고 나가는 거부된 로그인 TCP 연결에 의해 생성된 ca.com 호스트의 모든 감사 레코드를 필터링합니다.

  TCP;login;ca.com;*;*;D
  

• 이 예에서는 나가는 텔넷 연결에 의해 생성된 ca.com 호스트의 모든 감사 레코드를 필터링합니다.

  TCP;telnet;ca.com;*;W;*
  

예: 로그인 또는 로그아웃 이벤트 필터링

• 이 예에서는 루트가 허용된 계정에 로그인할 때 생성된 모든 감사 레코드를 필터링합니다.

  LOGIN;root;*;*;*;P
  

• 이 예에서는 루트가 시스템의 CRON 프로그램으로 인해 성공적으로 로그인할 때 생성된 모든 감사 레코드를 필터링합니다.

  LOGIN;root;*;*;SBIN_CRON;P
  

• 이 예에서는 _CRONJOB_ 프로세스가 루트 사용자를 로그아웃할 때 생성된 모든 감사 레코드를 필터링합니다.

  LOGIN;root;*;_CRONJOB_;*;O
  

예: 보안 데이터베이스 관리 이벤트 필터링

이 예에서는 admin01에 의한 성공한 FILE 관리 명령에 의해 생성된 모든 감사 레코드를 필터링합니다.

ADMIN;FILE'*;admin01;*;*;*;S

예: 사용자에 대한 추적 메시지 이벤트 필터링

이 예에서는 유효 사용자가 루트이고, 루트가 FILE 클래스의 개체에 액세스할 때 생성된 모든 사용자 추적 레코드를 필터링합니다.

TRACE;FILE;*;*;root;*;*;*

예: 감사 필터 정책

이 예에서는 감사 필터링 정책이 어떻게 표시되는지 보여 줍니다.

env config
er config auditrouteflt.cfg line+("FILE;*;*;R;P")

이 정책은 auditrouteflt.cfg 파일에 다음 줄을 씁니다.

FILE;*;*;R;P

이 줄에서는 접근자가 파일 리소스를 읽기 위한 액세스를 허용한 시도를 기록하는 레코드를 감사합니다.