送信ネットワーク接続イベント

送信ネットワーク接続イベントは、保護されたホストへの送信トラフィックを示します。送信ネットワーク イベントはローカル データベースでのクラスのアクティブ化により 2 つの形式で監査されます。どちらの監査イベント タイプにも同じ情報が含まれますが表示方法が異なります。たとえば、片方の監査イベントには HOST がクラス名として含まれますが、もう一方には TCP がクラス名として表示されます。
cminder140jp
送信ネットワーク接続イベントは、保護されたホストへの送信トラフィックを示します。送信ネットワーク イベントはローカル データベースでのクラスのアクティブ化により 2 つの形式で監査されます。どちらの監査イベント タイプにも同じ情報が含まれますが表示方法が異なります。たとえば、片方の監査イベントには HOST がクラス名として含まれますが、もう一方には TCP がクラス名として表示されます。
このイベントの監査レコードは、以下の形式になります。
DateTimeStatusClassServiceUserNameDetailsReasonHostProgramTerminal AuditFlags
  • 日付
    イベントが発生した日付を識別します。
    形式:
    DD MMM YYYY
    注:
    Privileged Access Manager Server Control
    エンドポイント管理では、ユーザのコンピュータの設定に従って日付表示をフォーマットします。
  • 時間
    イベントが発生した時間を識別します。
    形式:
    HH:MM:SS
    注:
    Privileged Access Manager Server Control
    エンドポイント管理は、ユーザのコンピュータの設定に従って、時間表示をフォーマットします。
  • Status
    イベントのリターン コードを示します。
    値:
    以下のいずれかです。
    • D (拒否) - 権限が不十分であるためイベントが拒否されました。
    • P (許可) - イベントが許可されました。
    • W (警告) - アクセス要求はアクセス ルールに違反していますが、警告モードが設定されているためイベントが許可されました。
  • Class
    クラスの名前を識別します。
  • サービス
    接続が使用されるサービスの名前を識別します。
  • ユーザ名
    このイベントをトリガしたアクションを実行したアクセサの名前を識別します。
  • 詳細
    Privileged Access Manager Server Control
     がこのイベントに対して実行するアクションを決定したステージを示します。
    注:
    seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は承認 stage code といいます。詳細な出力または
    Privileged Access Manager Server Control
    エンドポイント管理では、監査レコードに承認 stage code に関連するメッセージが表示されます。すべての stage code を一覧表示するには、seaudit -t を実行します。
  • 理由
    Privileged Access Manager Server Control
     が監査レコードを書き込んだ理由を示します。
    注:
    このフィールドは seaudit の詳細な出力または
    Privileged Access Manager Server Control
    エンドポイント管理には表示されません。seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は理由コードといいます。すべての理由コードを一覧表示するには、seaudit -t を実行します。
  • ホスト名
    ターゲット ホストの名前を識別します。
  • プログラム
    イベントをトリガしたプログラム名を識別します。
  • Terminal
    アクセス元がホストに接続するのに使用した端末名を識別します。
  • ユーザ ログオン セッション ID
    アクセサのセッション ID を識別します。
    注:
    デフォルトでは、このフィールドは seaudit の詳細でない出力には表示されません。seaudit の詳細でない出力でこのフィールドを表示するには、seaudit コマンドに -sessionid オプションを指定します。ユーザ ログオン セッション ID フィールドは、TCP または CONNECT クラス定義の結果として生成されたイベントに対してのみ追加されます。
  • 監査フラグ
    アクセス元が内部ユーザ(
    Privileged Access Manager Server Control
    データベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。
    注:
    アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」の文字列が表示されます。エンタープライズ ユーザではない場合、このフィールドは空白です。
例: 送信ネットワーク接続イベント メッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
21 Jan 2009 15:37:43 D TCP telnet root 408 2 computer.org /usr/bin/telnet computer.com Event type: Outbound network connection Status: Denied Host name: computer.org Service:telnet Program: /usr/bin/telnet User name: Administrator Terminal: computer.com User name: root Date: 21 Jan 2009 Time: 15:37:43 Details: Default access of TCP service User Logon Session ID: 4977248c:0000012a5248 Audit flags: AC database user
この監査レコードは、2009 年 1 月 21 日に管理者が端末 computer.org からコンピュータ computer.com に telnet サービス経由で外部接続を開いたことを示します。
Privileged Access Manager Server Control
はこの操作を TCP レコードの defaccess プロパティにより拒否しました (承認 stage code 408 - TCP サービスのデフォルト)。
Privileged Access Manager Server Control
はアクセス元の AUDIT_MODE プロパティがレコードの結果と一致したために、このイベントをログに記録しました (理由コード 2 - ユーザ監査モードはログへの記録を要求します)。