ログイン イベント
ログイン イベントは または で保護されるホストへのログイン試行を示しています。
cminder140jp
ログイン イベントは
Privileged Access Manager Server Control
または Privileged Access Manager Server Control
で保護されるホストへのログイン試行を示しています。このイベントの監査レコードは、以下の形式になります。
Date Time Status Event UserName SessionID Details Reason Terminal Program AuditFlags
- 日付イベントが発生した日付を識別します。形式:DD MMM YYYY注:Privileged Access Manager Server Controlエンドポイント管理では、ユーザのコンピュータの設定に従って日付表示をフォーマットします。
- 時間イベントが発生した時間を識別します。形式:HH:MM:SS注:Privileged Access Manager Server Controlエンドポイント管理は、ユーザのコンピュータの設定に従って、時間表示をフォーマットします。
- Statusイベントのリターン コードを示します。値:以下のいずれかです。
- D (拒否) - 権限が不十分であるためイベントが拒否されました。
- P (許可) - イベントが許可されました。
- W (警告) - アクセス要求はアクセス ルールに違反していますが、警告モードが設定されているためイベントが許可されました。
- イベントこのレコードが属するイベントのタイプを識別します。注:Privileged Access Manager Server Controlエンドポイント管理では、このフィールドは単に「イベント」として参照されます。
- UserNameこのイベントをトリガしたアクションを実行したアクセサの名前を識別します。
- SessionIDアクセサのセッション ID を識別します。注:デフォルトでは、このフィールドは seaudit の詳細でない出力には表示されません。seaudit の詳細でない出力でこのフィールドを表示するには、seaudit コマンドに -sessionid オプションを指定します。
- 詳細Privileged Access Manager Server Controlがこのイベントに対して実行するアクションを決定したステージを示します。注:seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は承認 stage code といいます。詳細な出力またはPrivileged Access Manager Server Controlエンドポイント管理では、監査レコードに承認 stage code に関連するメッセージが表示されます。すべての stage code を一覧表示するには、seaudit -t を実行します。
- 理由Privileged Access Manager Server Controlが監査レコードを書き込んだ理由を示します。注:このフィールドは seaudit の詳細な出力またはPrivileged Access Manager Server Controlエンドポイント管理には表示されません。seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は理由コードといいます。すべての理由コードを一覧表示するには、seaudit -t を実行します。
- Terminalアクセス元がホストに接続するのに使用した端末名を識別します。
- プログラムイベントをトリガしたプログラム名を識別します。これは、ログイン試行にアクセサが使用したプログラムです。Privileged Access Manager Server Controlの管理ログインでは、ログインしたモジュールを指します(selang、Web サービスなど)。
- AuditFlagsアクセス元が内部ユーザ(Privileged Access Manager Server Controlデータベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。注:アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」の文字列が表示されます。エンタープライズ ユーザではない場合、このフィールドは空白です。
例:ログイン イベント メッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
28 Oct 2008 12:15:01 P LOGIN root 49047159:0000034b 59 2 _CRONJOB_ SBIN_CRON Event: Login event Status: Permitted UserName: root Terminal: _CRONJOB_ Program: SBIN_CRON Date: 28 Oct 2008 Time: 12:15 Details: Resource UACC check SessionID: 49047159:0000034b AuditFlags: AC database user
この監査レコードは、2008 年 10 月 28 日、12 時 15 分 01 秒に、保護されたホストに root ユーザが _CRONJOB_ 端末からログインし、SBIN_CRON プログラムを実行したことを示しています。リソースのデフォルトのアクセス許可で、このアクションが許可されているため、
Privileged Access Manager Server Control
は操作を許可しました(承認 stage code 59 - リソース UACC のチェック)。アクセサの監査モードでこのイベントをログに記録することが指定されているため、製品はこのイベントをログに記録しました(reason code 2 - ユーザ監査モードは、ログ記録を必要とします)。