UNIX용 끝점 관리 안내서 › 이벤트 감사 › 사용자 세션 로깅이 작동하는 방법

사용자 세션 로깅이 작동하는 방법

사용자 세션 로깅은 끝점에서 사용자 활동을 추적하고, 세션을 재생하고, 이 세션 중 사용자가 입력한 명령을 볼 수 있게 해 줍니다.

참고: KBL은 /etc/shells 및 <AC>/etc/shells.def 파일을 모두 사용합니다.

세션 로거는 /etc/shells 및 <AC>/etc/shells.def 파일에 나열된 모든 프로그램에 대한 입력을 로깅합니다. 예를 들어, /usr/bin/passwd가 /etc/shells에 수록되었고 passwd를 사용하여 암호를 변경하는 경우, seaudit 유틸리티는 세션 로그를 표시할 때 변경된 암호를 표시합니다. 세션 로깅을 구현하기 전에 /etc/shells 파일을 검토할 것을 권장합니다.

다음 단계를 수행하십시오.

1. 키보드 로거 옵션을 활성화하여 CA ControlMinder을 설치합니다.

   키보드 로거를 사용하도록 CA ControlMinder 매개 변수를 사용자 지정하십시오.

   참고: 키보드 로거는 설치 후 seos.ini 파일에서 활성화할 수 있습니다.

2. CA ControlMinder을 시작합니다.

   키보드 로거 데몬인 KBLAudMngr가 실행 중인지 확인하십시오. CA ControlMinder 데몬의 상태를 보려면 issec 유틸리티를 사용하십시오.

3. 세션 로깅을 활성화하려면 추적할 사용자에게 INTERACTIVE 속성을 할당합니다. 예:
   • selang:

     eu user1 audit(interactive)
     

   • CA ControlMinder 끝점 관리:

     "사용자 속성" 창의 "감사" 탭에서 "대화식" 상자를 선택하십시오.

     CA ControlMinder이 해당 사용자 계정에 대해 세션 로깅을 활성화합니다.

4. 사용자가 끝점에 로그인하면 CA ControlMinder은 사용자 세션을 기록합니다. 사용자가 끝점에서 로그아웃하면 세션이 종료됩니다.
5. CA ControlMinder이 기록된 세션을 kbl.audit 로그 파일에 저장합니다. 이 파일은 다음 디렉터리에 있습니다.

   /opt/CA/AccessControl/log
   

6. kbl.audit 로그 파일의 내용을 보려면 -kbl 명령과 함께 seaudit 유틸리티를 사용합니다. 예:

   ./seaudit -kbl -sid 65223 -rp
   

   참고: seaudit -kbl 명령에 대한 자세한 내용은 참조 안내서를 참조하십시오. 회사의 호스트에서 사용자 세션을 수집하여 보고서를 생성하려면 CA ControlMinder 끝점을 CA Enterprise Log Manager와 통합하는 것이 좋습니다. CA Enterprise Log Manager와의 통합에 대한 자세한 내용은 통합 안내서를 참조하십시오.