참조 안내서유틸리티 › seaudit 유틸리티 - 감사 로그 레코드 표시

이전 항목: report_agent.sh 스크립트 - 보고서 에이전트 구성

다음 항목: sebuildla 유틸리티-Lookaside 데이터베이스 작성

seaudit 유틸리티 - 감사 로그 레코드 표시

seaudit 유틸리티는 CA Access Control 감사 로그 파일의 레코드를 표시합니다. Windows에서 seaudit 유틸리티를 실행하려면 AUDITOR 특성이 있어야 합니다. UNIX에서 seaudit 유틸리티를 실행하려면 seos.ini의 audir_group에 속해 있어야 합니다. 암호를 포함하는 감사 레코드를 표시할 때 seaudit는 암호 텍스트 대신 일련의 별표(***)를 입력하여 암호를 보호합니다.

참고: 명령 스위치와 옵션에 문자열 일치를 사용할 수 있습니다. 일부 UNIX 셸은 마스크 인수를 자동으로 확장합니다. 따라서 이러한 셸에서 seaudit를 호출하는 경우 별표 또는 물음표 앞에 백슬래시(\)를 입력하여 셸이 마스크를 처리하지 않도록 해야 합니다.

참고: seaudit 유틸리티는 사용자 ID가 아닌 사용자 이름별로 추적 레코드를 표시합니다.

이 명령의 형식은 다음과 같습니다.

seaudit switch [options]
switch

유틸리티에 대한 작업 모드를 정의합니다. 다음 중 하나가 될 수 있습니다.

‑a | -all

추적 기능으로 감사 로그에 전송된 사용자 추적 레코드를 제외한 모든 레코드를 표시합니다.

참고: UNIX에 사용 가능한 연결된 TCP 레코드도 표시되지 않습니다. 이러한 레코드를 표시하려면 -c 옵션도 지정해야 합니다.

-h | -help

이 유틸리티에 대한 도움말을 표시합니다.

{‑i | -inet} host service

지정된 서비스의 지정된 호스트에서 받은 TCP 요청의 INET 감사 레코드를 표시합니다. hostservice는 seaudit에서 검색하는 호스트 및 서비스 세트를 식별하는 마스크입니다.

UNIX에서 연결된 네트워크 ID(포트 번호)와 함께 TCP 레코드를 나열하려면 ‑c 플래그를 추가하십시오. 예:

seaudit ‑i ‑c myhost telnet
{‑l | -login} user1, user2, ... terminal

지정된 터미널에서 쉼표로 구분된 지정 사용자에 대한 LOGIN 레코드를 표시합니다.

user terminal은 모두 마스크입니다.

UNIX에서 이것은 또한 사용자를 활성화하고 비활성화할 때 serevu가 작성한 레코드 및 잘못된 암호를 입력할 때 권한 부여 데몬이 작성한 레코드를 표시합니다.

{‑r | -resource} class resource user1, user2, ...

쉼표로 구분된 지정 사용자의 지정 리소스에 대한 지정 클래스의 일반 리소스 감사를 표시합니다.

  • class는 액세스된 리소스가 속한 클래스를 식별하는 마스크입니다.
  • resource는 액세스된 리소스의 이름을 식별하는 마스크입니다.
  • user는 리소스를 액세스한 사용자 이름의 마스크입니다.
‑s | -start

CA Access Control 시작 및 종료 메시지를 표시합니다.

‑St | ‑Stat message_number

(UNIX 전용). watchdog 메시지 번호의 설명을 표시합니다.

‑t | -table

로그 코드의 표를 표시합니다.

‑tr

활동이 추적되는 모든 사용자의 추적 레코드를 표시합니다.

참고: 추적 레코드에는 기본적으로 로그인 세션 ID 열이 표시됩니다. 이 열을 표시하지 않으려면 -format 옵션을 사용합니다.

‑trr resource

지정된 리소스의 추적 레코드를 표시합니다.

‑tru {uid1|user1}, {uid1|user2}, ...

숫자 uid 또는 사용자 이름이 지정된 사용자의 추적 레코드를 표시합니다.

‑u command class record user

데이터베이스 업데이트 감사 레코드를 표시합니다.

  • command는 검색할 selang 명령 세트를 식별하는 마스크입니다.
  • class는 검색할 클래스를 식별하는 마스크입니다.
  • record는 검색할 레코드를 식별하는 마스크입니다.
  • user는 명령을 실행한 사용자를 식별하는 마스크입니다.
‑w

watchdog 감사 레코드를 표시합니다.

옵션

유틸리티의 정보 표시 방법을 변경하는 선택적인 한정자를 정의합니다. 다음 중 하나 이상이 될 수 있습니다.

‑c

(UNIX 전용). 연결된 INET 레코드를 표시합니다. 이러한 레코드는 세션 ID 추적을 위해 생성된 레코드이며, 성공적인 TCP 연결의 포트 번호를 나열합니다.

예를 들어, 사용자(user1)가 comp1에서 comp2로(두 곳에 모두 CA Access Control이 설치됨) Telnet 세션을 엽니다. Telnet 세션 중에 로그인한 사용자(user1 이외의 사용자일 수 있음)의 자격 증명과 함께 comp1에 승인을 보내도록 comp2의 CA Access Control을 구성할 수 있습니다. comp1은 이 승인을 받으면 TCP-CONNECTED 레코드(세션 설정 레코드)를 작성합니다. 이후 -c 옵션으로 이 레코드를 표시할 수 있습니다.

‑detail

각 레코드에 대한 자세한 정보를 표시합니다.

‑delim delimiter

첫 번째 필드 앞과 나머지 필드들 사이에 사용할 구분 기호를 정의합니다. 예를 들어, 다음 명령을 사용하면 필드가 인용 부호 안에 표시되고 쉼표로 구분됩니다.

seaudit ‑a ‑delim \”,\”

‑delim2 delimiter

구분 기호가 첫 번째 필드 앞에 나타나지 않는다는 점만 제외하고 ‑delim 옵션과 같습니다.

-delim3 delimiter

-delim 옵션과 마찬가지로 이것을 제외하고 일, 월, 연 사이에 구분 기호를 포함합니다.

-delim4 delimiter

-delim2 옵션과 동일합니다.

‑ed date

종료 날짜를 지정합니다. 이 날짜 이후에 기록된 레코드는 표시되지 않습니다.

다음 두 방법 중 하나로 date를 지정할 수 있습니다.

  • ddmmyyyy 형식 사용
  • today 문자열을 사용하여 날짜를 오늘로 설정

문자열 today 뒤에 ‑(빼기 기호)와 숫자를 사용할 수도 있습니다. 이렇게 하면 날짜가 오늘부터 지정한 일 수 이전의 날짜로 정의됩니다. 예를 들어, today3은 날짜가 3일 전임을 의미합니다.

‑et time

종료 시간을 지정합니다. 이 시간 이후에 기록된 레코드는 표시되지 않습니다.

다음 두 방법 중 하나로 time을 지정할 수 있습니다.

  • 24시간 형식 hh:mm 사용
  • now 문자열을 사용하여 시간을 지금으로 설정

    문자열 now 뒤에 ‑(빼기 기호)와 숫자를 사용할 수도 있습니다. 이렇게 하면 시간이 지금부터 지정한 분 수 이전의 시간으로 정의됩니다. 예를 들어, now‑60을 지정하면 시간이 60분(1시간) 전을 의미합니다. 특정 날짜 내의 시간 프레임을 설명하려면 ‑sd, ‑ed 또는 둘 모두와 함께 이 옵션을 사용하십시오.

    참고: now 문자열은 현재 날짜의 시간에 대해 유효합니다. 예를 들어, 현재 시간이 오전 130인 경우 now-89를 지정합니다. now-90을 지정하면 기록이 표시되지 않습니다.

‑f | -failure

액세스 실패를 표시하지 않도록 지정합니다.

{‑fn | -file} fileName

검색할 감사 로그 파일의 이름을 지정합니다.

-format release

출력 형식이 CA Access Control 릴리스용으로 만든 것처럼 보이도록 지정합니다.

release - 릴리스 번호를 정의합니다. 유효한 값:

  • 80sp1 - r8 SP1의 출력에는 최신 릴리스에 있는 유효한 UID 열이 포함되지 않았습니다.
  • 12.0 - r12의 출력에는 암호 변경 레코드를 표시하는 기능이 포함되지 않았습니다. 추적 레코드의 경우 r12.0의 출력에는 로그인 세션 ID 정보가 포함되지 않았습니다.
‑g | -grant

성공적인(허용된) 액세스를 표시하지 않도록 지정합니다.

‑gn | -grantnotify

성공적인(허용된) 액세스를 표시하지 않도록 지정합니다(알림 레코드 제외).

-kbl -a -sid sid {-rp | -pr | -cmd | -exe | -disp}

(UNIX에만 해당) 키보드 로깅 감사 파일(kbl.audit)의 내용을 표시하도록 지정합니다.

-a

감사 파일에서 모든 기록된 세션을 표시합니다.

-sid sid

키보드 로깅 세션 ID를 지정합니다.

-rp

전체 키보드 로깅 세션을 재생합니다.

-pr

제어 문자를 제외하고 전체 키보드 로깅 세션을 표시합니다.

-cmd

(UNIX에만 해당) 명령줄 로깅 세션 중 사용자가 입력한 명령을 표시합니다.

-exe

사용자가 셸에서 실행한 명령의 EXECARGS 정보를 표시합니다.

-disp

기록된 세션 시간을 표시하도록 지정합니다.

참고: 다음 셸에서 이 명령을 실행할 수 있습니다: bash, tcsh, csh, ksh, jsh, rsh, ash, zsh

‑logout

(UNIX 전용) 로그아웃 레코드를 표시하지 않도록 지정합니다.

‑millennium

(UNIX 전용) 연도가 두 개의 숫자 대신 네 개의 숫자로 표시되도록 지정합니다.

‑n | -netaddr

TCP/IP 레코드에 호스트 이름 대신 인터넷 주소가 표시되도록 지정합니다.

‑notify

NOTIFY 감사 레코드를 표시하지 않도록 지정합니다.

{‑o | -origin} host

지정한 호스트에서 시작된 레코드만 표시하도록 지정합니다.

이 옵션은 selogrcd 로그 라우트 수집 데몬에서 작성된 통합 감사 파일에서 레코드를 검색할 경우에만 적용됩니다.

‑pwa

(UNIX 전용) 암호 시도 레코드를 표시하지 않도록 지정합니다.

‑sd date

시작 날짜를 지정합니다. 이 날짜 이전에 기록된 레코드는 표시되지 않습니다.

다음 두 방법 중 하나로 date를 지정할 수 있습니다.

  • ddmmyyyy 형식 사용
  • today 문자열을 사용하여 날짜를 오늘로 설정

문자열 today 뒤에 ‑(빼기 기호)와 숫자를 사용할 수도 있습니다. 이렇게 하면 날짜가 오늘부터 지정한 일 수 이전의 날짜로 정의됩니다. 예를 들어, today3은 날짜가 3일 전임을 의미합니다.

sessionid

사용자 로그인 세션 ID 정보가 포함된 열을 표시하도록 지정합니다. 이 열은 기본적으로 숨겨져 있습니다.

참고: r12.0 SP1 이상이 포함된 끝점에 대해서만 이 옵션이 유효합니다.

‑st time

시작 시간을 지정합니다. 이 시간 이전에 기록된 레코드는 표시되지 않습니다.

다음 두 방법 중 하나로 time을 지정할 수 있습니다.

  • 24시간 형식 hh:mm 사용
  • now 문자열을 사용하여 시간을 지금으로 설정

문자열 now 뒤에 ‑(빼기 기호)와 숫자를 사용할 수도 있습니다. 이렇게 하면 시간이 지금부터 지정한 분 수 이전의 시간으로 정의됩니다. 예를 들어, now‑60을 지정하면 시간이 60분(1시간) 전을 의미합니다. 특정 날짜 내의 시간 프레임을 설명하려면 ‑sd, ‑ed 또는 둘 모두와 함께 이 옵션을 사용하십시오.

참고: now 문자열은 현재 날짜의 시간에 대해 유효합니다. 예를 들어, 현재 시간이 오전 130인 경우 now-89를 지정합니다. now-90을 지정하면 기록이 표시되지 않습니다.

‑v | -servnum

서비스 이름 대신 포트 번호가 표시되도록 지정합니다.

‑warn

경고 레코드를 표시하지 않도록 지정합니다.

예제

추가 정보:

감사 레코드의 이벤트 유형을 식별하는 방법

감사 이벤트 유형