사용자 이벤트에 대한 추적 메시지는 보호된 리소스를 열거나 실행하거나 사용하려는 시도에 대해 설명합니다.
이 이벤트의 감사 레코드 형식은 Windows에서 다음과 같습니다.
Date Time Status Event UserName SessionID RealUID RealUsername Class Resource Details AuditFlags Trace
이 이벤트의 감사 레코드 형식은 UNIX에서 다음과 같습니다.
Date Time Status Event UserName SessionID EffectiveUsername RealUsername Class Resource Details AuditFlags Trace
이벤트가 발생한 날짜를 식별합니다.
형식: DD MMM YYYY
참고: CA ControlMinder 끝점 관리는 컴퓨터 설정에 따라 날짜 표시 형식을 지정합니다.
이벤트가 발생한 시간을 식별합니다.
형식: HH:MM:SS
참고: CA ControlMinder 끝점 관리는 컴퓨터 설정에 따라 시간 표시 형식을 지정합니다.
이벤트의 반환 코드를 나타냅니다.
값: 다음 중 하나일 수 있습니다.
참고: 자세한 seaudit 출력에서는 이 필드에 추적 정보가 표시됩니다.
이 레코드가 속하는 이벤트 유형을 식별합니다.
참고: CA ControlMinder 끝점 관리에서는 이 필드를 간단하게 이벤트라고 합니다.
이 이벤트를 트리거한 작업을 수행한 접근자의 이름을 식별합니다.
접근자의 세션 ID를 식별합니다.
프로세스를 호출한 사용자의 사용자 ID를 식별합니다.
참고: (UNIX) 이 필드는 간략한 seaudit 출력으로 표시되지 않습니다.
추적된 작업을 수행하는 사용자 이름을 식별합니다.
(UNIX 전용) 기본 OS 유효 사용자 ID의 ID를 나타냅니다.
참고: 이 필드는 간략한 seaudit 출력으로 표시되지 않습니다.
이 이벤트를 트리거한 기본 OS 유효 사용자의 이름을 식별합니다. 사용자가 다른 사용자를 대체(대리)하거나 setuid 프로그램을 실행하는 경우 이 이름은 사용자 이름과 다릅니다.
액세스되는 리소스가 속하는 클래스를 식별합니다.
액세스 또는 업데이트되는 실제 리소스의 이름을 식별합니다.
CA ControlMinder이 이 이벤트에 대해 수행할 작업을 결정한 단계를 나타냅니다.
참고: 자세하지 않은 seaudit 출력의 감사 레코드는 이 필드에 숫자를 표시합니다. 이 숫자를 권한 부여 단계 코드라고 합니다. 자세한 출력이나 CA ControlMinder 끝점 관리의 감사 레코드는 권한 부여 단계 코드와 연관된 메시지를 표시합니다. 전체 단계 코드 목록을 보려면 seaudit -t를 실행하십시오.
클래스, 리소스 및 해당 리소스에 대해 수행된 작업 또는 이 작업의 결과를 비롯한 추적 세부 정보를 표시합니다.
접근자가 내부 사용자(CA ControlMinder 데이터베이스 사용자)인지 또는 엔터프라이즈 사용자인지를 나타냅니다.
참고: 접근자가 엔터프라이즈 사용자인 경우 자세하지 않은 seaudit 출력의 감사 레코드는 이 필드에 "(OS 사용자)"라는 문자열을 표시합니다. 그렇지 않으면 이 필드는 비어 있습니다.
예: UNIX의 사용자에 대한 추적 메시지 이벤트 메시지
다음 감사 레코드는 자세한 seaudit 출력에서 가져온 것입니다.
03 Nov 2008 10:38:47 P TRACE root 490daddd:00000140 john root FILE /home/jon/file.txt 55 FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Event type: Trace message on a user Date: 03 Nov 2008 Time: 10:38 Details: Resource ACL check Trace information: FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Class: FILE Resource: /home/admin/file.txt User name: root Real user ID: 108 Real user name: john Effective user ID: 108 Effective user name: root User Logon Session ID: 490daddd:00000140 Audit flags: AC database user
이 감사 레코드는 2008년 11월 3일에 관리자가 FILE 클래스에 속하는 리소스에 액세스를 시도하여 추적 메시지가 기록되었음을 나타냅니다. 액세스된 리소스의 ACL에 따라 관리자 액세스가 허용되었습니다(권한 부여 단계 코드 55 - 리소스 ACL 검사).
예: Windows의 사용자에 대한 추적 메시지 이벤트 메시지
다음 감사 레코드는 자세한 seaudit 출력에서 가져온 것입니다.
10 Nov 2008 10:14:53 P TRACE MACHINE\Administrator 00000000:172ef9ef MACHINE\john MACHINE\john WINSERVICE _default 1059 WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? 기본 레코드 범용 액세스 검사 Event type: Trace message on a user Date: 10 Nov 2008 Time: 10:14 Details: Default record universal access check Trace information: WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? 기본 레코드 범용 액세스 검사 Class: WINSERVICE Resource: _default User name: MACHINE\Administrator Real user name: MACHINE\john User Logon Session ID: 00000000:172ef9ef Audit flags: AC database user
이 감사 레코드는 2008년 11월 10일에 관리자가 WINSERVICE 클래스에 속하는 _default 리소스에 액세스를 시도하여 추적 메시지가 트리거되었음을 나타냅니다. 레코드 범용 액세스 검사로 인해 관리자 액세스가 허용되었습니다(권한 부여 단계 코드 1059 - 기본 레코드 범용 액세스 검사).
|
Copyright © 2013 CA.
All rights reserved.
|
|