リファレンス ガイド › 監査ログ レコード › 監査イベント タイプ › リソース アクセス イベント

リソース アクセス イベント

リソース アクセス イベントは FILE、TERMINAL、PROGRAM などのリソースへのアクセス試行を示しています。 このイベントの監査レコードのデータは、アクセス元が TERMINAL リソースへのアクセスを試行するときに、LOGIN イベントなどのほかのレコードにも表示させることができます。 この場合のイベント レコードは LOGIN タイプですが、レコードに表示される監査レコードのデータは、リソース アクセス イベント メッセージのうちのいずれかです。

このイベントの監査レコードは、以下の形式になります。

Date Time Status Class UserName SessionID Access Details Reason Resource Program Terminal EffectiveUserName AuditFlags

Date

イベントが発生した日付を識別します。

形式： DD MMM YYYY

注： CA ControlMinder エンドポイント管理 は日付の表示をコンピュータの設定に従って整形します。

Time

イベントが発生した時間を識別します。

形式： HH:MM:SS

注： CA ControlMinder エンドポイント管理 は時間の表示をコンピュータの設定に従って整形します。

ステータス

イベントのリターン コードを示します。

値： 以下のいずれかです。

• D （拒否） - 権限が不十分なためイベントが拒否されました。
• P （許可） - イベントが許可されました。
• W （警告） - アクセス要求はアクセス ルールに違反していますが警告モードが設定されたためイベントが許可されました。
• N （通知） - イベントが許可され、許可されたリソースへのアクセス試行が発生したことを通知します。
• F （失敗） - イベントは許可されましたが、オペレーティング システム コマンドは失敗しました。

クラス

アクセスされているリソースが属するクラスを識別します。

ユーザ名

このイベントをトリガしたアクションを実行したアクセス元の名前を識別します。

User Logon Session ID

アクセス元のセッション ID を識別します。

注： デフォルトでは、このフィールドは seaudit の詳細でない出力には表示されません。 seaudit の詳細でない出力でこのフィールドを表示するには、seaudit コマンドに -sessionid オプションを指定します。

Access

このイベントをトリガしたアクセス試行のタイプを識別します。

例： 読み取り

注： アクセスの値は、インターセプトされたリソースが属するクラスによって異なります。 各クラスに対するアクセス権限の詳細については、「selang リファレンス ガイド」を参照してください。

詳細

CA ControlMinder がこのイベントに対して実行するアクションを決定したステージを示します。

注： seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は承認 stage code といいます。 詳細な出力または CA ControlMinder エンドポイント管理 では、監査レコードに承認 stage code に関連するメッセージが表示されます。 すべての stage code を一覧表示するには、seaudit -t を実行します。

Reason

CA ControlMinder が監査レコードを書き込んだ理由を示します。

注： このフィールドは seaudit の詳細な出力または CA ControlMinder エンドポイント管理 には表示されません。 seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は理由コードといいます。 すべての理由コードを一覧表示するには、seaudit -t を実行します。

Resource

アクセスまたは更新されている実際のリソースの名前を識別します。

Program

イベントをトリガしたプログラム名を識別します。 これは、アクセス元がリソースへのアクセス試行に使用するプログラムです

Terminal

アクセス元がホストに接続するのに使用した端末名を識別します。 （UNIX のみ）。

有効なユーザ名

このイベントをトリガしたネイティブ OS の有効なユーザ名を識別します。 ユーザが別のユーザを代行する（代理になる）または setuid プログラムを実行する場合、この名前はユーザ名とは異なります。

監査フラグ

アクセス元が内部ユーザ（CA ControlMinder データベース ユーザ）であるかまたはエンタープライズ ユーザであるかを示します。

注： アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「（OS user）」 の文字列が表示されます。 エンタープライズ ユーザではない場合、このフィールドは空白です。

例： リソース アクセス イベント メッセージ

以下の監査レコードは、seaudit の詳細出力から取得したものです。

18 Nov 2008 15:23:56 D FILE         admabc  4922ae61:00000132 Read       69  3 /tmp/one             /usr/local/bin/tcsh  localhost      admabc
Event type: Resource access
Status: Denied
Class: FILE
Resource: /tmp/one
Access: Read
User name: admabc
Terminal: localhost
Program: /usr/local/bin/tcsh
Date: 18 Nov 2008
Time: 15:23
Details: No Step that allowed access
User Logon Session ID: 4922ae61:00000132
Audit flags: AC database user
Effective user name: admabc

この監査レコードは 2008 年 11 月 18 日 15:23:56 に、ユーザ admabc がローカル コンピュータから UNIX tcsh シェル プログラムを使用して、保護された /tmp/one ファイル リソースを読み取ろうとしたことを示します。 このタイプのアクセスを許可するルールがデータベースに存在しないため、CA ControlMinder は操作を拒否しました（承認ステージ コード 69 - アクセスを許可したステップがありません）。 リソースの監査モードでこのイベントはログに記録する必要があると指定しているため、CA ControlMinder はこのイベントをログに記録しました（理由コード 3 - リソース監査モードはログへの記録を要求しました）。