受信ネットワーク接続イベントは、保護されたホストへの受信トラフィックを示します。 受信ネットワーク イベントは 2 つの形式で監査されます(ローカル データベースのクラスのアクティブ化に従う)。 どちらの監査イベント タイプにも同じ情報が含まれますが表示方法が異なります。 たとえば、片方の監査イベントには HOST がクラス名として含まれますが、もう一方には TCP がクラス名として表示されます。
このイベントの監査レコードは、以下の形式になります。
Date Time Status Event Service Details Reason Host Program
イベントが発生した日付を識別します。
形式: DD MMM YYYY
注: CA ControlMinder エンドポイント管理 は日付の表示をコンピュータの設定に従って整形します。
イベントが発生した時間を識別します。
形式: HH:MM:SS
注: CA ControlMinder エンドポイント管理 は時間の表示をコンピュータの設定に従って整形します。
イベントのリターン コードを示します。
値: 以下のいずれかです。
このレコードが属するイベントのタイプを識別します。
注: CA ControlMinder エンドポイント管理 はこのフィールドを単にイベントとして参照します。
接続が使用されるサービスの名前を識別します。
CA ControlMinder がこのイベントに対して実行するアクションを決定したステージを示します。
注: seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は承認 stage code といいます。 詳細な出力または CA ControlMinder エンドポイント管理 では、監査レコードに承認 stage code に関連するメッセージが表示されます。 すべての stage code を一覧表示するには、seaudit -t を実行します。
CA ControlMinder が監査レコードを書き込んだ理由を示します。
注: このフィールドは seaudit の詳細な出力または CA ControlMinder エンドポイント管理 には表示されません。 seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は理由コードといいます。 すべての理由コードを一覧表示するには、seaudit -t を実行します。
ネットワーク トラフィックの送信元のホスト名を示します。
(UNIX のみ)アクセサが実行しようとしているプログラム名を示します。
例: 受信ネットワーク接続イベントのメッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
17 Nov 2008 12:22:04 D HOST telnet 173 3 computer.org.com /usr/sbin/inetd Event type: Inbound network connection Status: Denied Host name: computer.org.com Service: telnet Program: /usr/sbin/inetd/ Date: 17 Nov 2008 Time: 12:22 Details: HOST entry day & time restrictions Audit flags: AC database user
この監査レコードは、2008 年 11 月 17 日に、telnet サービスを使用してホスト computer.org.com にアクセスして inetd プログラムを実行しようとしたアクセサが、保護されたホストに適用される日時の制限のために拒否されたことを示します(承認 stage code 173 - HOST エントリの日時の制限)。 リソースの監査モードでこのイベントはログに記録する必要があると指定しているため、CA ControlMinder はこのイベントをログに記録しました(理由コード 3 - リソース監査モードはログへの記録を要求しました)。
|
Copyright © 2013 CA.
All rights reserved.
|
|