セキュリティ データベース管理イベント

セキュリティ データベース管理イベントは、適切な権限を持つ 管理者またはサブ管理者が実行し、製品によってインターセプトされたアクションを示します。
cminder140jp
セキュリティ データベース管理イベントは、適切な権限を持つ
Privileged Access Manager Server Control
管理者またはサブ管理者が実行し、製品によってインターセプトされたアクションを示します。
このイベントの監査レコードは、以下の形式になります。
Date Time Status Event Class Admin Details Reason Object TerminalCommand AuditFlags
  • 日付
    イベントが発生した日付を識別します。
    形式:
    DD MMM YYYY
    注:
    Privileged Access Manager Server Control
    エンドポイント管理では、ユーザのコンピュータの設定に従って日付表示をフォーマットします。
  • 時間
    イベントが発生した時間を識別します。
    形式:
    HH:MM:SS
    注:
    Privileged Access Manager Server Control
    エンドポイント管理は、ユーザのコンピュータの設定に従って、時間表示をフォーマットします。
  • Status
    イベントのリターン コードを示します。
    値:
    以下のいずれかです。
    • D (拒否) - 権限が不十分であるためイベントが拒否されました。
    • S (成功) - イベントが許可されました。
    • F (失敗) - イベントが失敗しました。
  • イベント タイプ
    このレコードが属するイベントのタイプを識別します。
    注:
    Privileged Access Manager Server Control
    エンドポイント管理では、このフィールドは単に「
    イベント
    」として参照されます。
  • Class
    管理対象のリソースが属するクラスを特定します。
  • 管理者
    selang コマンドを実行した管理者ユーザの名前を特定します。
  • 詳細
    Privileged Access Manager Server Control
     がこのイベントに対して実行するアクションを決定したステージを示します。
    注:
    seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は承認 stage code といいます。詳細な出力または
    Privileged Access Manager Server Control
    エンドポイント管理では、監査レコードに承認 stage code に関連するメッセージが表示されます。すべての stage code を一覧表示するには、seaudit -t を実行します。
  • 理由
    Privileged Access Manager Server Control
     が監査レコードを書き込んだ理由を示します。
    注:
    このフィールドは seaudit の詳細な出力または
    Privileged Access Manager Server Control
    エンドポイント管理には表示されません。seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は理由コードといいます。すべての理由コードを一覧表示するには、seaudit -t を実行します。
  • オブジェクト
    管理されているリソースの名前を示します。
  • Terminal
    アクセス元がホストに接続するのに使用した端末名を識別します。
    注:
    コマンドが親ポリシー モデルから引き継がれている場合、このフィールドには PMD の完全修飾名が表示されます。
  • Command
    ユーザが実行した selang コマンドが表示されます。
  • 監査フラグ
    アクセス元が内部ユーザ(
    Privileged Access Manager Server Control
    データベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。
    注:
    アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」の文字列が表示されます。エンタープライズ ユーザではない場合、このフィールドは空白です。
  • コマンド タイプ
    このイベントに記述されるデータベース管理コマンドのタイプを識別します。
    値は以下のいずれかです。
    • ユーザの追加 :
      newusr コマンド用
    • グループの追加:
      newgrp コマンド用
    • リソースの追加
      - newres または newfile コマンド用
    • ユーザの変更
      - chusr コマンド用
    • グループの変更
      - chgrp コマンド用
    • グループ メンバシップの変更
      - join コマンド用
    • リソースの変更:
      chres コマンド用
    • リソース アクセスの変更
      - authorize コマンド用
    • ユーザの削除:
      rmusr コマンド用
    • グループの削除
      - rmgrp コマンド用
    • リソースの削除
      - rmres または rmfile コマンド用
    • オプションの設定:
      setoptions コマンド用
    • ユーザの追加/変更
      - editusr コマンド用
    • グループの追加/変更
      - editgrp コマンド用
    • リソースの追加/変更:
      editres または editfile コマンド用
    • 管理コマンド:
      そのほかのコマンド用
例: セキュリティデータベース管理イベントのメッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
05 Nov 2008 15:45:12 S UPDATE FILE DOMAIN_NAME\computer 305 0 dfdok computer.com cr file dfdok defacc(r) Event type: Security database administration Command type: Modify resource Status: Successful Administrator: DOMAIN_NAME\computer Class: FILE Object: dfdok Terminal: computer.com Date: 05 Nov 2008 Time: 15:45 Details: Command successful for ADMIN user. Command: cr file dfdok defacc(r) Audit flags: AC database user
この監査レコードは、2008 年 11 月 5 日、端末 computer.com からログインして、保護されたホスト上でコマンド cr file dfdok defacc(r) を実行してファイルを更新しようとした管理者からのアクセスを、
Privileged Access Manager Server Control
が拒否したことを示します(許可ステージ コード 305 - コマンドが管理者ユーザに許可されました)。