リファレンス ガイド › 監査ログ レコード › 監査イベント タイプ › 送信ネットワーク接続イベント

送信ネットワーク接続イベント

送信ネットワーク接続イベントは、保護されたホストへの送信トラフィックを示します。 送信ネットワーク イベントはローカル データベースでのクラスのアクティブ化により 2 つの形式で監査されます。 どちらの監査イベント タイプにも同じ情報が含まれますが表示方法が異なります。 たとえば、片方の監査イベントには HOST がクラス名として含まれますが、もう一方には TCP がクラス名として表示されます。

このイベントの監査レコードは、以下の形式になります。

Date Time Status Class Service UserName Details Reason Host Program Terminal AuditFlags

Date

イベントが発生した日付を識別します。

形式： DD MMM YYYY

注： CA ControlMinder エンドポイント管理 は日付の表示をコンピュータの設定に従って整形します。

Time

イベントが発生した時間を識別します。

形式： HH:MM:SS

注： CA ControlMinder エンドポイント管理 は時間の表示をコンピュータの設定に従って整形します。

ステータス

イベントのリターン コードを示します。

値： 以下のいずれかです。

• D （拒否） - 権限が不十分なためイベントが拒否されました。
• P （許可） - イベントが許可されました。
• W （警告） - アクセス要求はアクセス ルールに違反していますが警告モードが設定されたためイベントが許可されました。

クラス

クラスの名前を識別します。

サービス

接続が使用されるサービスの名前を識別します。

ユーザ名

このイベントをトリガしたアクションを実行したアクセス元の名前を識別します。

詳細

CA ControlMinder がこのイベントに対して実行するアクションを決定したステージを示します。

注： seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は承認 stage code といいます。 詳細な出力または CA ControlMinder エンドポイント管理 では、監査レコードに承認 stage code に関連するメッセージが表示されます。 すべての stage code を一覧表示するには、seaudit -t を実行します。

Reason

CA ControlMinder が監査レコードを書き込んだ理由を示します。

注： このフィールドは seaudit の詳細な出力または CA ControlMinder エンドポイント管理 には表示されません。 seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は理由コードといいます。 すべての理由コードを一覧表示するには、seaudit -t を実行します。

ホスト名

ターゲット ホストの名前を識別します。

Program

イベントをトリガしたプログラム名を識別します。

Terminal

アクセス元がホストに接続するのに使用した端末名を識別します。

User Logon Session ID

アクセス元のセッション ID を識別します。

注： デフォルトでは、このフィールドは seaudit の詳細でない出力には表示されません。 seaudit の詳細でない出力でこのフィールドを表示するには、seaudit コマンドに -sessionid オプションを指定します。 ユーザ ログオン セッション ID フィールドは、TCP または CONNECT クラス定義の結果として生成されたイベントに対してのみ追加されます。

監査フラグ

アクセス元が内部ユーザ（CA ControlMinder データベース ユーザ）であるかまたはエンタープライズ ユーザであるかを示します。

注： アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「（OS user）」 の文字列が表示されます。 エンタープライズ ユーザではない場合、このフィールドは空白です。

例： 送信ネットワーク接続イベント メッセージ

以下の監査レコードは、seaudit の詳細出力から取得したものです。

21 Jan 2009 15:37:43 D TCP          telnet     root      408  2 computer.org /usr/bin/telnet computer.com                 
Event type: Outbound network connection
Status: Denied
Host name: computer.org
Service: telnet
Program: /usr/bin/telnet
User name: Administrator
Terminal: computer.com
User name: root
Date: 21 Jan 2009
Time: 15:37:43
Details: Default access of TCP service
User Logon Session ID: 4977248c:0000012a5248
Audit flags: AC database user

この監査レコードは、2009 年 1 月 21 日に管理者が端末 computer.org からコンピュータ computer.com に telnet サービス経由で外部接続を開いたことを示します。 CA ControlMinder はこの操作を TCP レコードの defaccess プロパティにより拒否しました。 （承認 stage code 408 - TCP サービスのデフォルト）CA ControlMinder はアクセス元の AUDIT_MODE プロパティがレコードの結果と一致したために、このイベントをログに記録しました。 （理由コード 2 - ユーザ監査モードはログへの記録を要求します）