Access Control のアクティビティの監視
内容
capamsc141
内容
PAM Server Control
のトレースは、製品によって実行されるすべてのアクションを確認できるリアルタイム ログです。トレース レコードは ACInstallDir
\log\seosd.trace に蓄積されます(ここで、ACInstallDir
は PAM Server Control
のインストール ディレクトリです)。または、以下のレジストリ サブキーで
trace_file
値として指定されたファイルに蓄積されます。HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD\
トレース ファイルのレコードはフィルタ処理できますが、トレース機能は本来セキュリティ監査ではなくシステム監視を目的として設計されたメカニズムです。
デフォルトでは、
PAM Server Control
は製品の初期化時にのみトレース メッセージを生成します。PAM Server Control
の初期化が終わると、トレース メカニズムは停止し、トレース メッセージは生成されません。トレース レコード フィルタ
PAM Server Control
では、以下の 2 つのタイプのトレース レコードを生成します。- ユーザ トレース レコード - ユーザが完了したアクションを記録します。例: user1 がファイル c:\tmp\tmp.exe にアクセスしました。
- 一般トレース レコード - システムが完了したアクションを記録します。例: Watchdog がプログラムを untrusted に設定しました。
トレース レコードは seos.trace ファイルに書き込まれ、trcfilter.ini ファイルを使用してフィルタできます。
ユーザをトレース可能に設定した場合、そのユーザに関するトレース レコードが書き込まれるたびに、対応する監査レコードが seos.audit ファイルに書き込まれます。audit.cfg ファイルは監査レコードをフィルタします。
トレース イベントによって生成された監査レコードはキャッシュされず、Full Enformacement フローが常に適用されます。
以下の selang コマンドで、ユーザをトレース可能に設定します。
editusr userName audit(trace)
トレース レコードまたは監査レコードを表示するには、seaudit ユーティリティを使用します。
トレース レコードのフィルタ処理
トレース フィルタ ファイルを使用すると、特定の種類のアクティビティがトレース ファイルに書き込まれないように指定できます。トレース フィルタ ファイルは、
trace_filter
値を使用して、以下のレジストリ キーで指定します。HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD
デフォルト値は
ACInstallDir
\log\trcfilter.ini です(ここで、ACInstallDir
は PAM Server Control
のインストール ディレクトリです)。PAM Server Control
のインストール時に、*seosd.trace* という 1 行が書き込まれたトレース フィルタ ファイルが作成されます。このレコードは、絶対に削除しないでください。トレース フィルタ ファイル内の各行は、トレースする必要が
ない
アクセスまたはアクティビティを表します。たとえば、Microsoft Word へのユーザ アクセスをトレース対象外にするには、トレース フィルタ ファイルに以下の行を追加します。*winword.exe*