참조 안내서 › 구성 파일 › 감사 로그 라우트 구성 파일 selogrd.cfg

감사 로그 라우트 구성 파일 selogrd.cfg

UNIX에 해당

다음은 구성 파일의 형식과 자세한 설명입니다.

section‑name‑1
routing‑method destination
[{include|exclude} match‑field(match‑pattern) ...]
...
.
section‑name‑2
routing‑method destination
[{include|exclude} match‑field(match‑pattern) ...]
...
.
...

감사 레코드 지정

구성 파일은 다양한 대상으로 라우트할 것이 아닌, 라우트할 감사 레코드 목록입니다. 감사 레코드를 지정하기 위해 하나 이상의 특수 필드 내용을 설명합니다. 표준 UNIX 패턴 일치(* 및 ?) 와일드카드를 사용할 수 있습니다.

예를 들어, 사용자 이름이 dbms 글자로 시작하는 사용자를 처리하는 레코드를 지정하려면 다음 명령을 입력합니다.

User(dbms*)

이 예제는 dbms1, dbms_mgr 등과 같은 이름을 가진 사용자를 일치시킵니다.

동일한 사용자를 지정하지만 각 사용자의 로그인 시도를 처리하는 레코드만 지정하려면 다음 명령을 입력합니다.

User(dbms*) Class(LOGIN)

참고: 한 행이 둘 이상의 필드와 관련해서 레코드를 지정할 경우 모든 해당 필드와 일치하는 레코드만 지정합니다.

레코드를 지정하는 동일한 행의 시작에서 레코드의 포함 또는 제외 여부를 지정합니다. 예를 들어, 라우팅에 이러한 레코드를 포함하려면 다음 명령을 입력합니다.

include User(dbms*) Class(LOGIN).

이러한 유형의 행 형식은전체적으로 다음과 같습니다.

[{include|exclude} match‑field(match‑pattern) ... .]

여기서 "..."은 첫 번째 match‑field(match‑pattern) 쌍 뒤에 다른 쌍이 올 수 있음을 의미합니다.

match‑field(match‑pattern)에 다음 중 하나를 사용할 수 있습니다.

Access(access‑type)

필요한 액세스 유형에 사용됩니다. 여기서 access‑type은 다음 중 하나입니다.

ACL, Chdir, Chgrp, Chmod, Chown, Connect, Control, Create, Erase, Exec, Kill, Modify, Owngrp, Password, Read, Rename, Replace, Update, Utimes 및 Write

Class(LOGIN)

로그인 레코드에 사용됩니다.

Class(LOGOUT)

로그아웃 레코드에 사용됩니다.

Class(PWCHANGE)

암호 관리에 사용됩니다.

Class(HOST)

TCP/IP 레코드에 사용됩니다.

Class(UPDATE CA ControlMinder‑class)

데이터베이스 관리에 대해 사용됩니다. CA ControlMinder‑클래스는 임의의 접근자 또는 리소스 클래스(예: USER, GROUP, FILE, HOSTNP...)이거나 일치시킬 클래스 이름의 패턴입니다. 따라서 모든 데이터베이스 관리를 위해 UPDATE *를 지정할 수 있습니다.

Class(CA ControlMinder‑class)

보호된 리소스에 대한 액세스에 사용됩니다. 예를 들어, Class(FILE)는 파일 액세스 시도를 보고하는 레코드를 나타냅니다.

*를 사용하여 Class(CA ControlMinder‑class)와 Class(UPDATE CA ControlMinder‑class)를 Class(*CA ControlMinder‑class)로 결합할 수 있습니다. 예를 들어, Class(*FILE)를 지정하는 것은 Class(FILE)와 Class(UPDATE FILE)를 모두 지정하는 것과 같습니다. 이것은 파일 액세스 시도와 FILE 클래스의 레코드 업데이트 시도를 모두 나타냅니다.

Code(return‑code)

발생한 이벤트를 나타내는 CA ControlMinder 반환 코드에 대해 사용됩니다. return‑code는 다음 값을 가질 수 있습니다. 이 단원의 "예제 1"을 참조하십시오.

A-잘못된 암호를 반복해서 입력했기 때문에 로그인 시도가 실패했습니다.

D-접근자의 권한이 부족해서 CA ControlMinder이 리소스에 대한 액세스를 거부했거나, 로그인을 허용하지 않았거나, 데이터베이스의 업데이트를 허용하지 않았습니다.

E-Serevu가 비활성화된 사용자 계정을 활성화했습니다.

F-데이터베이스 업데이트 시도가 실패했습니다.

I-Serevu가 사용자 계정을 비활성화했습니다.

M-실행된 명령이 데몬을 시작했거나 종료했습니다.

O-사용자가 로그아웃했습니다.

P-CA ControlMinder이 리소스에 대한 액세스를 허용했거나 로그인을 허용했습니다.

S-데이터베이스가 업데이트되었습니다.

T-사용자의 모든 작업을 추적 중이므로 감사 레코드가 작성되었습니다.

U-트러스트된 프로그램(setuid 또는 setgid)이 변경되었으므로 더 이상 트러스트되지 않습니다.

W-리소스에 대한 액세스가 리소스에 대한 액세스 규칙을 위반했습니다. 그러나 리소스에 경고 모드가 설정되어 있으므로 CA ControlMinder이 액세스를 허용했습니다.

Host(host‑name)

TCP/IP 연결에 관련된 호스트에 사용됩니다.

Object(resource‑name)

사용자가 액세스를 시도 중인 리소스에 사용됩니다.

Reason(reason‑number)

감사 레코드가 작성되는 이유에 사용됩니다.

Service(service‑name)

텔넷, ftp 또는 포트 번호와 같은 원격 호스트에서 요청된 서비스 이름에 사용됩니다.

Source Host(hostname)

통합된 감사에 레코드를 제공하는 호스트 이름에 사용됩니다.

Stage(stage‑number)

액세스가 승인 또는 거부된 단계에 대해 사용됩니다. 참조 안내서의 단계 코드 목록을 참조하십시오.

Terminal(terminal‑name)

액세스 또는 관리를 시도 중인 터미널에 사용됩니다.

Uid(uid‑number)

액세스 또는 관리를 시도 중인 사용자의 uid에 사용됩니다.

User(username)

액세스 또는 관리를 시도 중인 사용자에 사용됩니다. 여기서 username은 이름 또는 패턴입니다.

참고: 일부 변수는 패턴으로서 지정되기 쉽지만, 모든 변수(단계 번호 등도 포함)에 대해 패턴을 사용할 수 있습니다.

추가 행으로 미세 조정

사양을 미세 조정하기 위해 기준을 동시에 다르게 지정하여 필터링할 수 있습니다. 다른 행 다음에 include/exclude 행만 하나 추가하십시오. 예:

include User(dbms*) Class(*LOGIN*).
exclude Terminal(console_*).

예제에서는 이름이 dbms로 시작하는 사용자의 모든 로그인 시도와, 이름이 console_로 시작하지 않으며 터미널에 있는 사용자의 모든 로그인 시도를 지정합니다.

대상 지정

include 및 exclude 행의 시퀀스 위에 다른 행을 추가하여 포함 중인 감사 레코드의 라우팅 대상을 지정합니다. 예:

mail weekwatch
include User(dbms*) Class(*LOGIN*).
exclude Terminal(console_*).

이 예제는 이름이 dbms로 시작하고 console_로 시작하지 않는 이름을 가진 터미널을 사용하는 사용자의 모든 로그인 시도에 대한 리포트가 전자 메일 주소 weekwatch로 전송되도록 지정합니다.

이러한 유형의 행은 다음과 같이 로그 라우트 구성 파일의 형식으로 나타납니다.

routing‑method destination

다음 방법 중 하나를 사용할 수 있습니다.

mail address

감사 레코드를 전자 메일로 전송하는 데 사용됩니다. address는 대상 주소입니다. 여기서 address는 대상 주소입니다. user@host 형식이 아닌 경우, 로컬 사용자 목록 및 NIS 메일 별칭 맵에 대해 검사됩니다.

참고: address가 사용자 이름 및 해당 사용자의 계정이 감사되는 서로게이트 요청인 경우 감사 레코드는 끊임없이 누적됩니다.

screen username

selogrd가 감사 레코드를 전달할 때 해당 사용자가 현재 호스트에 로그인된 경우, 지정된 사용자의 화면에 감사 레코드를 표시합니다. 사용자가 로그인되지 않은 경우 표시는 연기되지 않고 취소됩니다.

cons hostname

지정된 호스트에서 secmon 유틸리티의 Security Administrator GUI에 감사 레코드를 보냅니다. 해당 호스트를 사용할 수 없는 경우 디스플레이는 연기되지 않고 종료됩니다.

file textfilename

지정된 ASCII 파일에 감사 레코드를 기록합니다. 여기서 textfilename은 절대 경로 이름이어야 하고 selogrd는 파일에 대한 액세스 권한을 가지고 있어야 합니다.

host hostname

지정된 호스트의 감사 로그 수집기로 감사 레코드를 보냅니다. 해당 호스트를 사용할 수 없는 경우 selogrd는 나중에 다시 시도합니다.

notify mail 또는 notify default

감사 레코드 자체가 지정하는 주소에 감사 레코드를 전송합니다.

notify screen

감사 레코드 자체가 지정하는 사용자 화면에 감사 레코드를 표시합니다. 사용자가 로그온되지 않은 경우 디스플레이는 연기되지 않고 취소됩니다.

syslog 우선 순위

지정된 로그 우선 순위로 syslog에 감사 레코드를 보내려면

• LOG_EMERG - 시스템을 사용할 수 없습니다.
• LOG_ALERT - 작업을 즉시 수행해야 합니다.
• LOG_CRIT - 중요 조건입니다.
• LOG_ERR - 오류 조건입니다.
• LOG_WARNING - 경고 조건입니다.
• LOG_NOTICE - 정상이지만 중요한 조건입니다.
• LOG_INFO - 정보용입니다.
• LOG_DEBUG - 디버그 수준 메시지입니다.

uni hostname

지정된 호스트의 Unicenter TNG 이벤트 관리자로 감사 레코드를 보냅니다. 또한 ACInstallDir/lib 디렉터리에 있는 uni.so 공유 라이브러리를 로드하도록 selogrd를 설정해야 합니다. 지정된 호스트에 설치된 Unicenter TNG를 찾고 사용자가 이 작업을 수행하도록 선택한 경우 설치 시 이 작업을 수행합니다.

행의 올바른 순서

include 및 exclude 행을 올바르게 구분하여 적합한 순서로 배열하는 것이 중요합니다.

• 단일 복합 필터로 처리할 행(또는 단일 행)의 각 순서 앞에 제목 행을 입력하고 점 하나로 구성된 종료 행으로 끝내야 합니다. 예는 다음과 같습니다.

  dbms login from non‑console

  	mail weekwatch
  

  include User(dbms*) Class(*LOGIN*).

  	exclude Terminal(console_*).
  	.
  

제목 행과 종료 행을 포함한 전체 시퀀스를 파일의 한 섹션이라고 합니다.

• include 및 exclude 행이 모두 동일한 섹션의 동일한 감사 레코드와 일치할 경우 마지막 일치는 다른 모든 항목을 무시합니다.
• 특정 감사 레코드와 일치하는 행이 없으면 섹션이 첫 번째 행이 해당 레코드의 결정 행이 됩니다. 첫 번째 행이 include 행이면 일치하는 행이 없을 경우 해당 레코드가 제외됩니다. 첫 번째 행이 exclude 행이면 일치하는 행이 없을 경우 해당 레코드가 라우팅에 포함됩니다.
• 섹션에 include 및 exclude 행이 없는 경우 라우팅할 모든 감사 레코드를 포함합니다.

섹션 공존 방법

섹션의 행은 함께 작동하여 레코드의 전송 여부와 상관 없이 단일 결정을 내리는 반면, 구성 파일의 다른 섹션은 완전히 독립적으로 작동합니다. 한 섹션에서 감사 레코드를 전송했는지 여부는 다른 섹션에 의한 동일한 감사 레코드의 전송 여부에 영향을 미치지 않습니다.

둘 이상의 대상에 감사 레코드의 동일한 선택을 전송할 수 있으며, 동일한 대상은 둘 이상의 감사 레코드 선택을 수신할 수 있습니다.

구성 파일에서 모든 섹션의 include 및 exclude 행은 합해서 64행을 넘지 않아야 합니다.

설명 포함

설명 행을 구성 파일에 추가하려면 세미콜론으로 행을 시작하십시오.

예 1

다음은 설명이 뒤에 나오는 예제 구성 파일입니다.

 ; Product : CA ControlMinder
 ; Module  : selogrd
 ; Purpose : route table for audit log routing daemon
 ;
 ;‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑
  Rule#1
  mail jones@admhost
  include       Class(*LOGIN*) Code(D).
  .
  Rule#2
  mail smith
  include       Class(*SURROGATE*) Object(USER.root*).
  .
  Rule#3
  host venus
  exclude       Class(UPDATE SU*).
  .
  Rule#4
  host venus
  include       Class(*PROGRAM*) Object(/usr/bin/ps).
  .

처음 5개 행은 설명 행입니다.

다음 네 개의 행은 첫 번째 섹션을 구성하고 Rule#1로 명명됩니다. 이러한 행은 로그인 요청이 거부될 때마다 로그 레코드를 jones@admhost 주소로 전송하도록 selogrd에게 지시합니다(코드 D는 거부를 보고함).

Rule#1
mail jones@admhost
include       Class(*LOGIN*) Code(D).
.

다음 섹션 이름은 Rule#2입니다. 이 섹션은 사용자가 su 명령을 사용하여 루트 계정을 입력할 때마다 로그 레코드를 smith 주소로 전송하도록 selogrd에게 지시합니다(SURROGATE 클래스의 개체는 su 명령의 대상임).

Rule#2
mail smith
include       Class(*SURROGATE*) Object(USER.root*).
.

다음 섹션 이름은 Rule#3입니다. 이 섹션은 클래스 이름이 SU 글자로 시작하지 않으면(일치 클래스는 SURROGATE 및 SUDO임) 사용자가 데이터베이스를 관리할 때마다 venus 호스트의 수집기로 로그 레코드를 보내도록 selogrd에게 지시합니다.

Rule#3
host venus
exclude       Class(UPDATE SU*).

마지막 섹션 이름은 Rule#4입니다. 이 섹션은 사용자가 ps 명령을 사용할 때마다 venus 호스트의 수집기로 로그 레코드를 보내도록 selogrd에게 지시합니다.

(Code 1 8pt) Rule#4
host venus
include       Class(*PROGRAM*) Object(/usr/bin/ps).
.

예 2

다음 구성 파일은 모든 감사 레코드를 loghost 스테이션의 수집기로 전송합니다.

 ; Product : CA ControlMinder
 ; Module  : selogrd
 ; Purpose : route table for audit log routing daemon
 ;
 ;‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑
  Rule#1
  host loghost
  .

반환 코드

구성 파일에 있는 각 유형의 레코드를 한 개 이상의 CA ControlMinder 반환 코드와 연결할 수 있습니다. 전체 반환 코드 목록을 보려면 이 섹션의 "감사 레코드 지정"에서 code(return‑code)의 설명을 참조하십시오. 다음 표는 레코드 유형 및 관련 반환 코드를 설명합니다.