リファレンス ガイド › 監査ログ レコード › 監査レコードのイベント タイプを識別する方法

監査レコードのイベント タイプを識別する方法

監査レコードのコンテンツを理解するには、最初に監査レコードのイベント タイプを識別する必要があります。 これは、レコードに含まれるデータが監査レコードの作成をトリガしたイベントのタイプによって異なるためです。

注： 監査ログ レコードに表示される順序、番号、および列の内容は、監査ログを表示するのに選択した方法によって異なります。 フィールドによっては、CA ControlMinder エンドポイント管理、seaudit 出力、または詳細な seaudit 出力に表示されないものがあります。 また、seaudit ユーティリティを使用する場合は、指定するオプションが列の番号、順序、および内容も特定します。

監査レコードのイベント タイプを識別する方法

• CA ControlMinder エンドポイント管理 で監査レコードを表示している場合は、監査レコードが属しているイベント タイプが［監査レコード検索結果］ペインの最初の列に表示されます。

  監査レコードの詳細を表示するには、最初の列の監査イベント タイプのリンクをクリックします。

• seaudit 出力で監査レコードを表示している場合は、詳細な出力（-detail オプション）を表示してイベント タイプを表示する必要があります。

イベント タイプを識別したら、次に残りのメッセージの詳細を解釈することができます。

例： CA ControlMinder エンドポイント管理 の監査レコード

以下のイメージでは、CA ControlMinder エンドポイント管理 が監査イベントを表示する方法を示します。

例：デフォルトの seaudit 出力の監査レコード

seaudit ユーティリティでデフォルトで示される監査イベントは、以下の seaudit 出力（抜粋）のようになります。

19 Dec 2008 16:46:47 P WINSERVICE   TM123VM-AC¥Administrator Read     1059  2 VMTools              C:¥WINDOWS¥system32¥services.exe TM123VM-AC
19 Dec 2008 16:46:52 P WINSERVICE   TM123VM-AC¥Administrator Read     1059  2 VMTools              C:¥WINDOWS¥system32¥services.exe TM123VM-AC
19 Dec 2008 16:46:53 P LOGIN        TM123VM-AC¥Administrator   55  2 TM123VM-AC           C:¥WINDOWS¥system32¥lsass.exe
19 Dec 2008 16:46:57 P WINSERVICE   TM123VM-AC¥Administrator Read     1059  2 VMTools              C:¥WINDOWS¥system32¥services.exe TM123VM-AC
19 Dec 2008 16:47:02 P WINSERVICE   TM123VM-AC¥Administrator Read     1059  2 VMTools              C:¥WINDOWS¥system32¥services.exe TM123VM-AC
19 Dec 2008 16:47:07 P WINSERVICE   TM123VM-AC¥Administrator Read     1059  2 VMTools              C:¥WINDOWS¥system32¥services.exe TM123VM-AC
19 Dec 2008 16:47:12 P WINSERVICE   TM123VM-AC¥Administrator Read     1059  2 VMTools              C:¥WINDOWS¥system32¥services.exe TM123VM-AC
19 Dec 2008 16:47:16 S UPDATE       GROUP      TM123VM-AC¥Administrator  336  0 test       TM123VM-AC egtest audit-
19 Dec 2008 18:28:18 P LOGIN        TM123VM-AC¥Administrator   55 10 TM123VM-AC           selang
19 Dec 2008 18:28:18 S UPDATE       TERMINAL   TM123VM-AC¥Administrator  305  0 TM123VM-AC-SC1.ca.com TM123VM-AC er terminal TM123VM-AC-SC1.ca.com

上記のメッセージのうち、最初の seaudit 出力について、詳細を以下に示します。

19 Dec 2008 16:46:47 P WINSERVICE   TW852VM-AC¥Administrator Read     1059  2 VMTools              C:¥WINDOWS¥system32¥services.exe TM123VM-AC
Event type: Resource access
Status: Permitted
Class: WINSERVICE
Resource: VMTools
Access: Read
User name: TM123VM-AC¥Administrator
User Logon Session ID: 00000000:05647d29
Terminal: TM123VM-AC
Program: C:¥WINDOWS¥system32¥services.exe
Date: 19 Dec 2008
Time: 16:46
Details: Default record universal access check
Audit flags: AC database user