audit.cfg ファイル -- ログインおよびログアウト イベント フィルタ構文
ログイン イベントまたはログアウト イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
cminder140jp
ログイン イベントまたはログアウト イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
LOGIN;UserName;UserId;TerminalName;LoginProgram;AuthorizationResultOrLoginType
- LOGINログイン イベントおよびログアウト イベントによって生成された監査レコードを、ルールによってフィルタリングするよう指定します。
- UserNameアクセサの名前を定義します。
- UserId(UNIX)アクセサのネイティブ ユーザ ID を定義します。
- TerminalNameイベントが発生したターミナルを定義します。
- LoginProgramログインまたはログアウトを試みたプログラムの名前を定義します。
- AuthorizationResultorLoginType認証結果を定義します。値は以下のとおりです。
- *認証結果のいずれかのタイプを表すワイルドカード。
- Dログイン試行は拒否されました。
- Pログイン試行は許可されました。
- O(UNIX)アクセサはログアウトしました。
- I(UNIX) serevu デーモンは、アクセサのアカウントを無効にしました。
- E(UNIX) serevu デーモンは、アクセサのアカウントを有効にしました。
- A(UNIX)serevu デーモンまたは Pluggable Authentication Module は、不正なパスワードでログインしようとしたユーザを監査しました。
注:Windows では、ログアウト イベントを記録しません。
例:ログインまたはログアウト イベントのフィルタ
- この例では、root が許可されたアカウントにログインする場合に生成されたすべての監査レコードをフィルタします。LOGIN;root;*;*;*;P
- この例では、システムの CRON プログラムによって root が正常にログインした場合に生成されたすべての監査レコードをフィルタします。LOGIN;root;*;*;SBIN_CRON;P
- この例では、_CRONJOB_ process が root ユーザをログアウトした場合に生成されたすべての監査レコードをフィルタします。LOGIN;root;*;_CRONJOB_;*;O