seaudit ユーティリティ - 監査ログ レコードの表示

seaudit ユーティリティは、 監査ログ ファイルのレコードを表示します。Windows 上で seaudit ユーティリティを実行するには、AUDITOR 属性が必要で、seos.ini 内で audir_group に属している必要があります。パスワードが含まれる監査レコードを表示する場合、seaudit によってパスワードのテキストがアスタリスク(***)に置き換えられて、パスワードが保護されます。
capamsc141
seaudit ユーティリティは、
Privileged Access Manager
監査ログ ファイルのレコードを表示します。Windows 上で seaudit ユーティリティを実行するには、AUDITOR 属性が必要で、seos.ini 内で audir_group に属している必要があります。パスワードが含まれる監査レコードを表示する場合、seaudit によってパスワードのテキストがアスタリスク(***)に置き換えられて、パスワードが保護されます。
コマンドのスイッチおよびオプションでは、文字列マッチングが使用できます。マスクの引数を自動的に展開する UNIX シェルもあります。従って、このようなシェルから seaudit を起動する場合は、マスクがシェルによって処理されないように、アスタリスクまたは疑問符の前に円記号(\)を入力する必要があります。
seaudit ユーティリティでは、トレース レコードがユーザ ID 別ではなく、ユーザ名別に表示されます。
このコマンドの形式は以下のようになります。
seaudit switch [options]
  • switch
    seaudit ユーティリティの操作モードを定義します。以下のオプションの
    いずれか
    になります。
    • -a | -all
      すべてのレコードを表示します。ただし、トレース機能によって監査ログに送信されたユーザ トレース レコードは除きます。
      UNIX で使用可能な、接続された TCP レコードも表示されません。これらのレコードを表示するには、-c オプションを指定します。
    • -, | -help
      このユーティリティのヘルプ画面を表示します。
    • {-i | -inet}
      host
      service
      指定されたサービスの指定されたホストから受け取った TCP 要求の INET 監査レコードを表示します。
      host
      および
      service
      は、seaudit が検索するホストとサービスを特定するマスクです。
      UNIX 上で、接続が行われたネットワーク ID(ポート番号)を持つ TCP レコードを一覧表示するには -c フラグを追加します。以下に例を示します。
      seaudit -i -c myhost telnet
    • {-l | -login}
      user1
      ,
      user2
      , ...
      terminal
      指定された端末上の、カンマで区切られた指定ユーザに関する LOGIN レコードを表示します。
      user
      terminal
      はいずれもマスクです。
      UNIX では、serevu がユーザを有効化または無効化する際に、serevu によって作成されるレコード、および無効なパスワードが入力される際に許可デーモンによって作成されるレコードも表示されます。
    • {-r | -resource}
      class
      resource
      user1, user2, ...
      カンマで区切られた指定ユーザについて、指定されたリソースの指定されたクラスに関する一般リソース監査レコードを表示します。
      1. class
        は、アクセスされたリソースが属しているクラスを特定するマスクです。
      2. resource
        は、アクセスされたリソースの名前を特定するマスクです。
      3. user
        は、リソースにアクセスしたユーザの名前を特定するマスクです。
    • -s | -start
      Privileged Access Manager
      の起動メッセージおよび停止メッセージを表示します。
    • -St | -Stat
      message_number
      (UNIX のみ)。Watchdog のメッセージ番号の説明を表示します。
    • -t | -table
      ログ コードの表を表示します。
    • -tr
      アクティビティがトレース対象になっているすべてのユーザのトレース レコードを表示します。
      注:
      トレース レコードは、ログイン セッション ID 列をデフォルトで表示します。この列を表示しない場合は、-format オプションを使用します。
    • -trr
      resource
      指定されたリソースのトレース レコードを表示します。
    • -tru {
      uid1
      |
      user1
      }, {
      uid1
      |
      user2
      }, ...
      指定されたユーザ ID またはユーザ名を持つユーザのトレース レコードを表示します。
    • -u
      command
      class
      record
      user
      以下のようなデータベース更新の監査レコードを表示します。
      1. command
        は、検索対象の selang のコマンド セットを特定するマスクです。
      2. class
        は、検索対象のクラスを特定するマスクです。
      3. record
        は、検索対象のレコードを特定するマスクです。
      4. user
        は、コマンドを実行したユーザを特定するマスクです。
    • -w
      Watchdog の監査レコードを表示します。
      内部的に保護されたファイルがユーザによって削除されると、ユーザ トレースはイベントを記録しません。
  • オプション
    ユーティリティが情報を表示する方法を変更する、オプションの修飾子を定義します。以下のオプションから 1 つ以上を指定できます。
    • -c
      (UNIX のみ)。
      接続された
      INET レコードを表示します。これらのレコードはセッション ID の追跡用に生成され、成功した TCP 接続のポート番号を一覧表示します。
      たとえば、ユーザ(user1)が Telnet セッションを comp1 から comp2 に開きます。comp1 と comp2 の両方に
      Privileged Access Manager
      がインストールされています。comp2 の
      Privileged Access Manager
      は、Telnet セッションでログインしたユーザ(user1 以外のユーザの場合もあります)のクレデンシャルで、確認応答を comp1 に送信するように設定(logconnected 設定)できます。comp1 はこの確認応答を受け取ると、TCP-CONNECTED レコード(セッション確立レコード)を作成します。このレコードは、-c オプションを使用して表示できます。
    • -detail
      各レコードに関する詳細情報を表示します。
    • -delim
      delimiter
      最初のフィールドの前および残りの各フィールド間で使用する区切り文字を定義します。たとえば、以下のコマンドにより、フィールド全体が引用符で囲まれ、各フィールドがカンマで区切られて表示されます。
      seaudit -a -delim \,\
    • -delim2
      delimiter
      区切り文字が最初のフィールドの前に表示されないこと以外は、-delim オプションと同じです。
    • -delim3
      delimiter
      曜日、月、年の間の区切り文字が含まれる以外は、-delim オプションと同じです。
    • -delim4
      delimiter
      -delim2 オプションと同じです。
    • -ed
      date
      終了日を指定します。この日付より後にログに記録されたレコードは表示
      されません
      以下の 2 つの方法のいずれかを使用して、日付を指定できます。
      • dd
        -
        mm
        -
        yyyy
        形式を使用します。
      • 文字列
        today
        を使用して、今日の日付を設定します。
      文字列「
      today
      」の後に「-」と数値を指定することもできます。これにより、今日の日付から指定された日数だけ前の日付を定義できます。たとえば、
      today
      -
      3
      は、現在の日付から 3 日前を開始日とすることを意味します。
    • -et
      time
      終了時刻を指定します。この日付より後にログに記録されたレコードは表示
      されません
      以下の 2 つの方法のいずれかを使用して、時刻を指定できます。
      • 24 時間形式の
        hh:mm
        を使用します。
      • 文字列
        now
        を使用して、現在の時刻を設定します。
        文字列「
        now
        」の後に「-」(マイナス)と数値を指定することもできます。これにより、現在の時刻から指定された分数だけ前の時刻を定義できます。たとえば、now-
        60
        は、現在の時刻から 60 分(1 時間)前を開始時刻とすることを意味します。特定の日付の範囲内で時間枠を正確に定義するには、このオプションを -sd、-ed、またはその両方と組み合わせて指定します。
注:
now
文字列は当日の時間に対して有効です。たとえば、現在の時刻が 130 am であれば、
now-89
と指定します。
now-90
と指定すると、レコードは表示されません。
-f | -failure
失敗したアクセスを表示
しない
ように指定します。
  • {-fn | -file}
    fileName
    検索対象の監査ログ ファイルの名前を指定します。
  • -format
    release
    出力形式が
    Privileged Access Manager
    リリース
    の形式と同じであるように指定します。
    release
    - リリース番号を定義します。有効値は以下のとおりです。
    1. 80sp1
      - r8 SP1 の出力には、新しいリリースに存在する有効な UID 列は含まれせん。
    2. 12
      - r12.0 の出力には、パスワード変更レコードを表示する機能は含まれません。トレース レコードでは、r12.0 の出力にもログイン セッション ID 情報は含まれていませんでした。
  • -g | -grant
    成功した(許可された)アクセスを表示
    しない
    ように指定します。
  • -gn | -grantnotify
    通知レコードを除き、成功した(許可された)アクセスを表示しないように指定します。
  • -kbl -a -sid
    sid
    {-rp | -pr | -cmd | -exe | -disp}
    (UNIX のみ)キー ロギング監査ファイル(kbl.audit)のコンテンツを表示するよう指定します。
    • -a
      監査ファイル内の記録されたセッションをすべて表示します。
    • -sid
      sid
      キー ロギング セッション ID を指定します。
    • -rp
      キー ロギング セッション全体を再生します。
    • -pr
      キー ロギング セッション全体を表示します(制御文字を除く)。
    • -cmd
      (UNIX のみ)コマンド ラインのロギング セッション中にユーザが入力したコマンドを表示します。
    • -exe
      ユーザがシェルで実行したコマンドの EXECARGS の詳細を表示します。
    • -disp
      記録されたセッション期間を表示するように指定します。
    このコマンドは、シェル bash、tcsh、csh、ksh、jsh、rsh、ash、zsh で実行できます。
  • -logout
    (UNIX のみ)ログアウト レコードを表示
    しない
    ように指定します。
  • -millennium
    (UNIX のみ)年が下 2 桁ではなく 4 桁で表示されるように指定します。
  • -n | -netaddr
    TCP/IP レコードのホスト名ではなく、インターネット アドレスが表示されるように指定します。
  • -notify
    NOTIFY 監査レコードが表示されないように指定します。
  • {-o | -origin}
    host
    指定されたホストから送信されたレコードのみが表示されるように指定します。
    このオプションが適用できるのは、selogrcd ログ ルーティング収集デーモンによって作成された統合監査ファイルからレコードを参照する場合のみです。
  • -pwa
    (UNIX のみ)パスワード試行レコードが表示
    されない
    ように指定します。
  • -sd
    date
    開始日を指定します。この日付より前にログに記録されたレコードは表示
    されません
    以下の 2 つの方法のいずれかを使用して、日付を指定できます。
    • dd
      -
      mm
      -
      yyyy
      形式を使用します。
    • 文字列
      today
      を使用して、今日の日付を設定します。
    文字列「
    today
    」の後に「-」と数値を指定することもできます。これにより、今日の日付から指定された日数だけ前の日付を定義できます。たとえば、
    today
    -
    3
    は、現在の日付から 3 日前を開始日とすることを意味します。
  • sessionid
    ユーザ ログイン セッション ID 情報が含まれている列を表示するように指定します。この列は、デフォルトでは非表示です。
    このオプションは、r12.0 SP1 以上のエンドポイントでのみ有効です。
  • -st
    time
    開始時刻を指定します。この日付より前にログに記録されたレコードは表示
    されません
    以下の 2 つの方法のいずれかを使用して、時刻を指定できます。
    • 24 時間形式の
      hh:mm
      を使用します。
    • 文字列
      now
      を使用して、現在の時刻を設定します。
    文字列「
    now
    」の後に「-」(マイナス)と数値を指定することもできます。これにより、現在の時刻から指定された分数だけ前の時刻を定義できます。たとえば、now-
    60
    は、現在の時刻から 60 分(1 時間)前を開始時刻とすることを意味します。特定の日付の範囲内で時間枠を正確に定義するには、このオプションを -sd、-ed、またはその両方と組み合わせて指定します。
注:
now
文字列は当日の時間に対して有効です。たとえば、現在の時刻が 130 am であれば、
now-89
と指定します。
now-90
と指定すると、レコードは表示されません。
-v | -servnum
サービス名ではなく、ポート番号が表示されるように指定します。
  • -warn
    警告レコードが表示
    されない
    ように指定します。
  • 2004 年 1 月 3 日以降のすべての監査レコードを一覧表示するには、以下のコマンドを使用します。
    seaudit -a -sd 04-Jan-2004
  • 2004 年 1 月 3 日に実行された、root ユーザによる任意の端末からの失敗したログインを一覧表示するには、以下のコマンドを使用します。
    seaudit -sd 04-Jan-2004 -ed 04-Jan-2004 -l root * -g
  • ユーザ John が FILE クラスのすべてのリソースに対して行ったすべてのアクセスを一覧表示するには、以下のコマンドを使用します。
    seaudit -r FILE "*" John
  • すべての日付の 17:00 (最初の日)から 08:00 (次の日)の間に記録されたすべての監査レコードを一覧表示するには、以下のコマンドを使用します。
    seaudit -a -st 17:00 -et 08:00
  • 08:00 から 17:00 の間に記録されたすべての監査レコードを一覧表示するには、以下のコマンドを使用します。
    seaudit -a -st 08:00 -et 17:00
  • 1 人のユーザについて、ログインおよびリソースへのアクセスに関するすべての警告レコードを一覧表示するには、以下のコマンドを使用します。
    seaudit -login * * -resource * * * -grant -failure -logout -pwa
  • 2 人のユーザについて、すべてのログイン レコードを一覧表示するには、以下のコマンドを使用します。
    seaudit -login "user1, user2"
  • 昨日の監査レコードをすべて一覧表示するには、以下のコマンドを使用します。
    seaudit -a -sd today-1 -ed today-1
  • kbl.audit ログ ファイル内の監査レコードをすべて一覧表示するには、以下のコマンドを使用します。
    seaudit -kbl
  • 監査ファイル内に記録されたセッションをすべて表示するには、以下のコマンドを使用します。
    seaudit -kbl -a
  • キーボード ロガー監査ログ ファイルを表示するには、以下のコマンドを使用します。
    seaudit -kbl -a -sid 22764
  • ユーザ セッションを再生するには、以下のコマンドを使用します。
    seaudit -kbl -sid 22316 -rp
  • ユーザがセッション中に入力したコマンドをすべて表示するには、以下のコマンドを使用します。
    seaudit -kbl -sid 22316 -cmd
  • UID 244 の単一ユーザがファイルにアクセスしようとしたアクティビティをトレースする監査レコードをすべて一覧表示するには、以下のコマンドを使用します。
    seaudit -tru 244 -trr FILE
  • 2 人のユーザのアクティビティをトレースする監査レコードをすべて一覧表示するには、以下のコマンドを使用します。
    seaudit -tru "user1, 244"
  • 5 分前から記録された監査レコードをすべて一覧表示するには、以下のコマンドを使用します。
    # date
    Fri Nov 25 01:50:00 EST 2016
    # /opt/CA/PAMSC/bin/seaudit -a -st now-5
    CA Privileged Access Manager Server Control seaudit <version> - Audit log lister
    Copyright (c) 2013 CA. All rights reserved.
    25 Nov 2016 01:45:00 P FILE root Read 54 2 /etc/security/passwd /usr/sbin/cron root
    25 Nov 2016 01:45:00 P FILE root Read 54 2 /etc/security/passwd /usr/sbin/cron root
    25 Nov 2016 01:45:00 P FILE root Read 54 2 /etc/security/passwd /usr/sbin/cron root
    25 Nov 2016 01:45:00 P LOGIN root 59 2 _CRONJOB_ USR_SBIN_CRON
    25 Nov 2016 01:45:00 P FILE root Read 54 2 /etc/security/passwd /usr/sbin/cron _CRONJOB_ root
    25 Nov 2016 01:45:00 O LOGOUT root 49 2 _CRONJOB_
    Total records displayed 6