ユーザ イベントのトレース メッセージは、保護されたリソースを開く、実行する、または使用する試行を示します。
Windows の場合、このイベントの監査レコードは、以下の形式になります。
Date Time Status Event UserName SessionID RealUID RealUsername Class Resource Details AuditFlags Trace
UNIX の場合、このイベントの監査レコードは、以下の形式になります。
Date Time Status Event UserName SessionID EffectiveUsername RealUsername Class Resource Details AuditFlags Trace
イベントが発生した日付を識別します。
形式: DD MMM YYYY
注: CA ControlMinder エンドポイント管理 は日付の表示をコンピュータの設定に従って整形します。
イベントが発生した時間を識別します。
形式: HH:MM:SS
注: CA ControlMinder エンドポイント管理 は時間の表示をコンピュータの設定に従って整形します。
イベントのリターン コードを示します。
値: 以下のいずれかです。
注: seaudit の詳細な出力ではこのフィールドはトレース情報を示します。
このレコードが属するイベントのタイプを識別します。
注: CA ControlMinder エンドポイント管理 はこのフィールドを単にイベントとして参照します。
このイベントをトリガしたアクションを実行したアクセス元の名前を識別します。
アクセス元のセッション ID を識別します。
プロセスを実行したユーザのユーザ ID を識別します。
注:(UNIX)このフィールドは seaudit の詳細でない出力には表示されません。
トレースされたアクションを実行しているユーザ名を識別します。
(UNIX のみ)ネイティブな OS の有効なユーザ ID の ID を識別します。
注: このフィールドは seaudit の詳細でない出力には表示されません。
このイベントをトリガしたネイティブ OS の有効なユーザ名を識別します。 ユーザが別のユーザを代行する(代理になる)または setuid プログラムを実行する場合、この名前はユーザ名とは異なります。
アクセスされているリソースが属するクラスを識別します。
アクセスまたは更新されている実際のリソースの名前を識別します。
CA ControlMinder がこのイベントに対して実行するアクションを決定したステージを示します。
注: seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は承認 stage code といいます。 詳細な出力または CA ControlMinder エンドポイント管理 では、監査レコードに承認 stage code に関連するメッセージが表示されます。 すべての stage code を一覧表示するには、seaudit -t を実行します。
クラス、リソース、およびそのリソースで実行されたアクションまたはそのアクションの結果を含む、詳細なトレース情報を表示します。
アクセス元が内部ユーザ(CA ControlMinder データベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。
注: アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」 の文字列が表示されます。 エンタープライズ ユーザではない場合、このフィールドは空白です。
例: UNIX 上のユーザ イベント メッセージのトレース メッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
03 Nov 2008 10:38:47 P TRACE root 490daddd:00000140 john root FILE /home/jon/file.txt 55 FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Event type: Trace message on a user Date: 03 Nov 2008 Time: 10:38 Details: Resource ACL check Trace information: FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Class: FILE Resource: /home/admin/file.txt User name: root Real user ID: 108 Real user name: john Effective user ID: 108 Effective user name: root User Logon Session ID: 490daddd:00000140 Audit flags: AC database user
この監査レコードは、2008 年 11 月 3 日に管理者が FILE クラスに属するリソースにアクセスしようとしたことにより、トレース メッセージがログに記録されたことを示します。 アクセスされたリソースの ACL に従って、管理者はアクセスが許可されました(承認 stage code 55 - リソースの ACL チェック)。
例: Windows 上のユーザ イベント メッセージのトレース メッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
10 Nov 2008 10:14:53 P TRACE MACHINE¥Administrator 00000000:172ef9ef MACHINE¥john MACHINE¥john WINSERVICE _default 1059 WINSERVICE > (C:¥WINDOWS¥system32¥services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? Default record universal access check Event type: Trace message on a user Date: 10 Nov 2008 Time: 10:14 Details: Default record universal access check Trace information: WINSERVICE > (C:¥WINDOWS¥system32¥services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? Default record universal access check Class: WINSERVICE Resource: _default User name: MACHINE¥Administrator Real user name: MACHINE¥john User Logon Session ID: 00000000:172ef9ef Audit flags: AC database user
この監査レコードは、2008 年 11 月 10 日に管理者が WINSERVICE クラスに属するリソース _default にアクセスしようとしたことにより、トレース メッセージがトリガされたことを示します。 レコード ユニバーサル アクセス チェックにより管理者はアクセスが許可されました(承認 stage code 1059 - デフォルト レコードユニバーサル アクセス チェック)。
|
Copyright © 2013 CA.
All rights reserved.
|
|