前のトピック: スタートアップ イベント次のトピック: パスワード確認イベント

リファレンス ガイド監査ログ レコード監査イベント タイプシャットダウン イベント

シャットダウン イベント

CA ControlMinder のシャットダウン イベントは、システムをシャットダウンする権限を持つ管理者またはサブ管理者ユーザが実行したプロセスを示します。

このイベントの監査レコードは、以下の形式になります。

Date Time M Event UserName SessionID Details Service AuditFlags
Date

イベントが発生した日付を識別します。

形式: DD MMM YYYY

注: CA ControlMinder エンドポイント管理 は日付の表示をコンピュータの設定に従って整形します。

Time

イベントが発生した時間を識別します。

形式: HH:MM:SS

注: CA ControlMinder エンドポイント管理 は時間の表示をコンピュータの設定に従って整形します。

イベント タイプ

このレコードが属するイベントのタイプを識別します。

注: CA ControlMinder エンドポイント管理 はこのフィールドを単にイベントとして参照します。

ユーザ名

このイベントをトリガしたアクションを実行したアクセス元の名前を識別します。

User Logon Session ID

アクセス元のセッション ID を識別します。

注: デフォルトでは、このフィールドは seaudit の詳細でない出力には表示されません。 seaudit の詳細でない出力でこのフィールドを表示するには、seaudit コマンドに -sessionid オプションを指定します。

詳細

CA ControlMinder がこのイベントに対して実行するアクションを決定したステージを示します。

注: seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は承認 stage code といいます。 詳細な出力または CA ControlMinder エンドポイント管理 では、監査レコードに承認 stage code に関連するメッセージが表示されます。 すべての stage code を一覧表示するには、seaudit -t を実行します。

デーモン(UNIX)/エンジン サービス(Windows)

シャットダウンされた CA ControlMinder デーモン(UNIX)またはサービス(Windows)の名前を識別します。

値: seosd(CA ControlMinder エンジン)

監査フラグ

アクセス元が内部ユーザ(CA ControlMinder データベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。

注: アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」 の文字列が表示されます。 エンタープライズ ユーザではない場合、このフィールドは空白です。

例: UNIX のシャットダウン イベント メッセージ

以下の監査レコードは、seaudit の詳細出力から取得したものです。

24 Sep 2008 15:40:46 M SHUTDOWN     root    452 seosd
Event type: Daemon shutdown
User name: root
Daemon: seosd
Date: 24 Sep 2008
Time: 15:40:46
Details: User is ADMIN or SPECIAL
User Logon Session ID: 48da26ce:00000142
Audit flags: CA ControlMinder database user

この監査レコードは、2008 年 9 月 24 日、CA ControlMinder をシャットダウンしようとしたユーザ root が、ADMIN 属性を持っているため、シャットダウンを許可されたことを示します(承認 stage code 452 - ユーザは ADMIN または SPECIAL です)。

例: Windows のシャットダウン イベント メッセージ

以下の監査レコードは、seaudit の詳細出力から取得したものです。

23 Dec 2008 12:56:20 D SHUTDOWN     tst002                   460 seosd
Event type: Engine service shutdown
User name: tst002
Engine service: seosd
Date: 10 Feb 2009
Time: 12:56
Details: User is not allowed to shutdown CA ControlMinder

User Logon Session ID: 00000000:04c240d5
Audit flags: AC database user

この監査レコードは、2008 年 12 月 23 日、ユーザ tst002 が CA ControlMinder のシャットダウンを許可されていないため、CA ControlMinder のシャットダウンが拒否されたことを示します(承認 stage code 460 - ユーザは CA ControlMinder をシャットダウンする権限がありません)。

詳細情報:

シャットダウン イベントの承認 stage code