監査ログ(UNIX)
監査レコードは、監査ログというファイルに格納されています。監査ログの場所は、seos.ini ファイルで指定します。seaudit ユーティリティまたは エンドポイント管理を使用して、監査ログに記録されたイベントを一覧表示します。時間制限やイベント タイプなどでイベントをフィルタ処理します。
capamsc141
監査レコードは、監査ログというファイルに格納されています。監査ログの場所は、seos.ini ファイルで指定します。seaudit ユーティリティまたは
Privileged Access Manager
エンドポイント管理を使用して、監査ログに記録されたイベントを一覧表示します。時間制限やイベント タイプなどでイベントをフィルタ処理します。 seaudit の詳細については、「
リファレンス ガイド
」を参照してください。監査ログはローカルに格納されます。ただし、
Privileged Access Manager
のログ ルーティング機能を使用して監査情報を配布できます。後でイベントを調査できるように、古い監査ログをテープにアーカイブすることをお勧めします。デフォルトでは、認証デーモンである seosd によって、root 所有の監査ログが作成されます。これは、seosd プログラムがユーザ root で実行されるためです。このため、作成される監査ログの読み取り/書き込み許可はユーザ root のみに与えられています。
root 以外のユーザが su コマンドで root にならなくても監査ログを参照できるように、
Privileged Access Manager
の seos.ini ファイルには 2 つのエントリが用意されています。これらのエントリは、ログ ファイルに割り当てるグループ所有者権限を指定します。- 監査ログについて指定するエントリ。サイトの監査者全員が auditforce というグループのメンバであるとします。ローカル監査ログ ファイルをこれらのユーザが表示できるようにする必要があります。seos.ini ファイルを編集し、[logmgr]セクションの audit_group トークンを auditforce に設定します。これにより、ローカルの監査ログに対する読み取り許可がPrivileged Access Managerによって auditforce グループに付与されます。この時点から、端末で作成されたローカル監査ログの所有者は auditforce グループになります。ログ ルーティング デーモンは、このトークンをクエリして、デーモンが作成して収集する監査ログに対するアクセス権を誰が持つことができるかを確認します。監査ログは他のファイルと同じようにアクセス制御の対象であり、Privileged Access Managerのルールによってユーザが監査ログにアクセスできない場合があります。
- その他のエントリは、エラー ログ用です。このエントリは、エラー ログ ファイルのグループ所有者権限を同様に指定します。