監査レコードは、監査ログというファイルに格納されています。 監査ログの場所は、seos.ini ファイルで指定します。 seaudit ユーティリティまたは CA ControlMinder エンドポイント管理を使用して、監査ログに記録されたイベントを一覧表示したり、時間制限やイベント タイプなどでイベントをフィルタ処理したりすることができます。
注: seaudit の詳細については、「リファレンス ガイド」を参照してください。
監査ログはローカルに保存されていますが、CA ControlMinder のログ ルーティング機能を使用して監査情報を配布できます。 後でイベントを調査できるように、古い監査ログをテープにアーカイブすることをお勧めします。
デフォルトでは、認証デーモンである seosd によって、root 所有の監査ログが作成されます。これは、seosd プログラムがユーザ root で実行されるためです。 このため、作成される監査ログの読み取り/書き込み許可はユーザ root のみに与えられています。
root 以外のユーザが su コマンドで root にならなくても監査ログを参照できるように、CA ControlMinder の seos.ini ファイルには 2 つのエントリが用意されています。これらのエントリを使用して、ログ ファイルに割り当てるグループ所有者権限を指定します。
サイトの監査者全員が auditforce というグループのメンバであるとします。 ローカル監査ログ ファイルをこれらのユーザが表示できるようにする必要があります。 seos.ini ファイルを編集し、[logmgr]セクションの audit_group トークンを auditforce に設定します。 これにより、ローカル監査ログに対する読み取り許可が auditforce グループに与えられます。 この時点から、端末で作成されたローカル監査ログの所有者は auditforce グループになります。
ログ ルーティング デーモンは、このトークンをクエリして、デーモンが作成して収集する監査ログに対するアクセス権を誰が持っているかを確認します。 監査ログは他のファイルと同じようにアクセス制御の対象であり、CA ControlMinder のルールによってユーザが監査ログにアクセスできない場合があることに注意してください。
|
Copyright © 2013 CA.
All rights reserved.
|
|