インターセプト イベントの監査のしくみ
内容
capamsc141
内容
インターセプト イベント
とは、PAM Server Control
に初めて出現し、カーネル キャッシュに許可または監査に関する情報が存在しないイベントです。監査レコードをログに記録するために、
PAM Server Control
は以下のアクションを実行し、インターセプト イベントにその結果が反映されるようにします。監査レコード インターセプト イベント

- No Enforcement モードでは、イベントはインターセプトも監査もされません。
- Full Enforcement モードでは、PAM Server Controlは以下の手順に従います。
- 認証エンジンは、認証結果に基づいて、監査項目を監査キュー、および監査キャッシュに配置します。PAM Server Controlが監査項目を書き込むのは、リソースまたはアクセサの監査プロパティが結果のイベントを監査するように設定され、監査フィルタ ファイルがこのイベントをフィルタするように設定されていない場合のみです。
- 認証エンジンは、認証結果に関する情報および監査関連情報が含まれている応答をカーネルに返します。
- Audit Only モードでは、PAM Server Controlは許可要求を処理しません。リソースおよびユーザの監査プロパティに関係なく、監査情報は常に書き込まれます。PAM Server Controlは、監査フィルタ ファイルがこのイベントをフィルタ処理するように設定されていない場合のみ、監査項目を書き込みます。このモードでは、認証結果は常にP(許可)です。
インターセプトされたログイン イベント(TERMINAL クラス)、およびユーザ トレースによって生成された監査レコードはキャッシュされません。認証エンジンは、これらのイベントの監査レコードを常に書き込みます。
監査イベントの監査のしくみ
以下の図に、監査イベントの監査のしくみを示します。
監査イベントの監査のしくみ

カーネルがキャッシュされたインターセプト イベントについて
PAM Server Control
に通知すると、PAM Server Control
は以下のアクションを実行して、監査イベントをログに記録します。- カーネルが送信する情報が格納されている監査キャッシュを使用して、監査データを再構築します。
- 監査項目を監査キューに挿入します。
カーネルおよび監査のキャッシュ
カーネル キャッシュには、以前にインターセプトされたイベントに関するデータが含まれています。カーネルは、このようにキャッシュされたインターセプト イベント(監査イベント)を識別して、処理を実行する
PAM Server Control
に送信します。基本的に、PAM Server Control
は、カーネル キャッシュを使用して、以前にインターセプトされたイベントと同じパターンを取るイベントをインターセプトします。この
監査キャッシュ
に含まれるデータによって、PAM Server Control
は再帰的な監査レコードを再構築します。再構築された監査レコードは、許可プロセスに従う必要なく監査キューに送られます。これは、キャッシュにすでに十分な情報があるインターセプト イベント(監査イベント)はすぐに処理され、監査キューに追加されることを意味します。認証エンジンが提供するデータは、認証エンジンがインターセプトした最初のイベントの結果、カーネル キャッシュおよび監査キャッシュに格納されているものです。キャッシュのリセット
PAM Server Control
は、以下の場合に、カーネル キャッシュと監査キャッシュの両方をクリアします。- データベースの変更時PAM Server Controlは、データベース情報が変更された場合にキャッシュ全体をクリアします。アクセス ルールが新規に作成されたり、変更されると、既存のキャッシュが不正確になる可能性があります。
- 時間チェックポイント到達時PAM Server Controlは、時間チェックポイントが任意のイベントに対する許可結果に影響を及ぼす場合にキャッシュ全体をクリアします。DAYTIME 制限プロパティまたは HOLIDAY クラス レコードが変更されると。認証結果も変更され、キャッシュが不正確になる可能性があります。
- PROGRAM リソースの変更時PAM Server Controlは、PROGRAM リソースが変更され、untrusted 状態になったことを Watchdog が検知すると、キャッシュ全体をクリアします。untrusted 状態のプログラムは、プログラムの認証要求の結果に影響を及ぼします。これにより、キャッシュが不正確になる可能性があります。
- 監査キャッシュの飽和時PAM Server Controlは、監査キャッシュが飽和状態になると、キャッシュ項目の 10%(最も使用頻度の低いキャッシュ項目)をクリアします。
キャッシュがクリアされたら、キャッシュに再び情報を格納し、
PAM Server Control
で監査イベントをインターセプトできるようにするには、新規インターセプト イベントの情報が必要になります。