참조 안내서 › 감사 로그 레코드 › 감사 이벤트 유형 › 아웃바운드 네트워크 연결 이벤트

아웃바운드 네트워크 연결 이벤트

아웃바운드 네트워크 연결 이벤트는 보호된 호스트로의 아웃바운드 트래픽을 나타냅니다. 아웃바운드 네트워크 이벤트는 로컬 데이터베이스의 클래스 활성화에 따라 두 가지 형태로 감사됩니다. 두 감사 이벤트 유형은 모두 동일한 정보를 포함하지만 다른 보기를 사용합니다. 예를 들어 한 감사 이벤트에는 HOST가 클래스 이름으로 포함되는 반면 다른 이벤트에서는 TCP를 클래스 이름으로 표시합니다.

이 이벤트의 감사 레코드 형식은 다음과 같습니다.

Date Time Status Class Service UserName Details Reason Host Program Terminal AuditFlags

날짜

이벤트가 발생한 날짜를 식별합니다.

형식: DD MMM YYYY

참고: CA Access Control 끝점 관리는 컴퓨터 설정에 따라 날짜 표시 형식을 지정합니다.

Time

이벤트가 발생한 시간을 식별합니다.

형식: HH:MM:SS

참고: CA Access Control 끝점 관리는 컴퓨터 설정에 따라 시간 표시 형식을 지정합니다.

상태

이벤트의 반환 코드를 나타냅니다.

값: 다음 중 하나일 수 있습니다.

• D(거부됨) - 권한이 부족하여 이벤트가 거부되었습니다.
• P(허용됨) - 이벤트가 허용되었습니다.
• W(경고) - 액세스 요청이 액세스 규칙을 위반하지만 경고 모드가 설정되어 이벤트가 허용되었습니다.

클래스

클래스의 이름입니다.

서비스

연결에 사용된 서비스의 이름을 식별합니다.

사용자 이름

이 이벤트를 트리거한 작업을 수행한 접근자의 이름을 식별합니다.

자세한 내용

CA Access Control이 이 이벤트에 대해 수행할 작업을 결정한 단계를 나타냅니다.

참고: 자세하지 않은 seaudit 출력의 감사 레코드는 이 필드에 숫자를 표시합니다. 이 숫자를 권한 부여 단계 코드라고 합니다. 자세한 출력이나 CA Access Control 끝점 관리의 감사 레코드는 권한 부여 단계 코드와 연관된 메시지를 표시합니다. 전체 단계 코드 목록을 보려면 seaudit -t를 실행하십시오.

원인

CA Access Control이 감사 레코드를 작성한 이유를 나타냅니다.

참고: 자세한 seaudit 출력이나 CA Access Control 끝점 관리에는 이 필드가 표시되지 않습니다. 자세하지 않은 seaudit 출력의 감사 레코드는 이 필드에 숫자를 표시합니다. 이 숫자를 사유 코드라고 합니다. 전체 사유 코드 목록을 보려면 seaudit -t를 실행하십시오.

호스트 이름

대상 호스트의 이름을 식별합니다.

Program

이벤트를 트리거한 프로그램의 이름을 식별합니다.

터미널

접근자가 호스트에 연결하는 데 사용한 터미널의 이름을 식별합니다.

사용자 로그온 세션 ID

접근자의 세션 ID를 식별합니다.

참고: 기본적으로 이 필드는 간략한 seaudit 출력으로 표시되지 않습니다. 간략한 seaudit 출력으로 필드를 표시하려면 seaudit 명령에 -sessionid 옵션을 지정하십시오. 사용자 로그온 세션 ID 필드는 TCP 또는 CONNECT 클래스 정의의 결과로 생성된 이벤트에만 추가됩니다.

감사 플래그

접근자가 내부 사용자(CA Access Control 데이터베이스 사용자)인지 또는 엔터프라이즈 사용자인지를 나타냅니다.

참고: 접근자가 엔터프라이즈 사용자인 경우 자세하지 않은 seaudit 출력의 감사 레코드는 이 필드에 "(OS 사용자)"라는 문자열을 표시합니다. 그렇지 않으면 이 필드는 비어 있습니다.

예: 아웃바운드 네트워크 연결 이벤트 메시지

다음 감사 레코드는 자세한 seaudit 출력에서 가져온 것입니다.

21 Jan 2009 15:37:43 D TCP          telnet     root      408  2 computer.org /usr/bin/telnet computer.com                 
Event type: Outbound network connection
Status: Denied
Host name: computer.org
Service: telnet
Program: /usr/bin/telnet
User name: Administrator
Terminal: computer.com
User name: root
Date: 21 Jan 2009
Time: 15:37:43
Details: Default access of TCP service
User Logon Session ID: 4977248c:0000012a5248
Audit flags: AC database user

이 감사 레코드는 2009년 1월 21일에 관리자가 텔넷 서비스를 통해 computer.org 터미널에서 computer.com 컴퓨터로 나가는 연결을 열었음을 나타냅니다. CA Access Control은 TCP 레코드의 defaccess 속성 때문에 이 작업을 거부했습니다. (권한 부여 단계 코드 408 - TCP 서비스의 기본값). CA Access Control은 접근자의 AUDIT_MODE 속성이 레코드 결과와 일치하여 이 이벤트를 기록했습니다. (사유 코드 2 - 사용자 감사 모드에 로깅 필요)

추가 정보:

아웃바운드 네트워크 연결 이벤트의 권한 부여 단계 코드

레코드가 작성된 이유를 지정하는 사유 코드