UNIX エンドポイント管理ガイド › イベントの監査 › ユーザ セッション ログ記録が機能するしくみ

ユーザ セッション ログ記録が機能するしくみ

ユーザ セッションのログ記録では、エンドポイントでのユーザ アクティビティのトレース、セッションの再生、およびユーザがセッション中に入力したコマンドの表示を行うことができます。

注： KBL は /etc/shells ファイルおよび <AC>/etc/shells.def ファイルの両方を使用します。

セッション ロガーは、/etc/shells ファイルおよび <AC>/etc/shells.def ファイルにリストされたすべてのプログラムに対する入力をログに記録します。 たとえば、 /etc/shells に /usr/bin/passwd がリストされており、ユーザが自分のパスワードを変更するために passwd を使用した場合、セッション ログを表示すると seaudit ユーティリティによって変更されたパスワードが表示されます。 セッション ログ記録を実装する前に、/etc/shells ファイルを確認しておくことを推奨します。

注： seaudit -kbl コマンドは、ログイン シェルが /bin/sh であるユーザの -cmd を記録しません。

次の手順に従ってください：

1. キーボード ロガー オプションを有効にして CA ControlMinder をインストールします。

   CA ControlMinder のパラメータ ファイルをカスタマイズして、キーボード ロガーを有効にします。

   注： インストール後に seos.ini ファイルでキーボード ロガーを有効にできます。

2. CA ControlMinder を起動します。

   キーボード ロガー デーモン（KBLAudMngr）が実行されていることを確認します。 CA ControlMinder デーモンのステータスを表示するには、issec ユーティリティを使用します。

3. トレースするユーザに INTERACTIVE プロパティを割り当て、セッション ログ記録を有効にします。 以下に例を示します。
   • selang

     eu user1 audit(interactive)
     

   • CA ControlMinder エンドポイント管理

     ［User Properties］ウィンドウの［監査］タブの［対話式］チェックボックスをオンにします。

     CA ControlMinder によって、ユーザ アカウントのセッション ログ記録が有効にされます。

4. ユーザがエンドポイントにログインすると、CA ControlMinder によってユーザ セッションの記録が開始されます。 ユーザがエンドポイントからログアウトすると、セッションは終了します。
5. CA ControlMinder では、記録されたセッションが kbl.audit ログ ファイルに保存されます。 このファイルは以下のディレクトリにあります。

   /opt/CA/AccessControl/log
   

6. kbl.audit ログ ファイルの内容を表示するには、seaudit ユーティリティの -kbl コマンドを使用します。 以下に例を示します。

   ./seaudit -kbl -sid 65223 -rp
   

   注： seaudit -kbl コマンドの詳細については、「リファレンス ガイド」を参照してください。 企業内のホストからユーザ セッションを収集してレポートを生成できるように、CA ControlMinder エンドポイントを CA Enterprise Log Manager に統合することをお勧めします。 CA Enterprise Log Manager への統合の詳細については、「実装ガイド」を参照してください。