監査イベント ログの表示

監査イベントを Windows イベント ログに送信するように PAM SC を設定できます。イベント ログは、さまざまなアプリケーションからの監査イベントを 1 箇所に収集し格納します。
capamsc141
CA Privileged Access Manager
は監査イベントを監査ログに送信します。監査ログを表示するには、以下の
CA Privileged Access Manager
のツールを使用します。
  • CA Privileged Access Manager
    エンドポイント管理
  • seaudit ユーティリティ
監査イベントを Windows イベント ログに送信するように
CA Privileged Access Manager
を設定できます。イベント ログは、さまざまなアプリケーションからの監査イベントを 1 箇所に収集し格納します。イベント ログで監査イベントを表示するには、Windows イベント ビューアを使用します。

Windows イベント ログの監査イベント

Windows イベント ログは、さまざまなソースからの監査イベントを 1 箇所に収集し格納します。監査イベントをイベント ログにルーティングするように
CA Privileged Access Manager
を設定する場合、seosd が監査イベントを
CA Privileged Access Manager
の監査ログに書き込むごとに、対応するイベントがイベント ログに送信されます。
audit.cfg ファイルは、監査ログおよびイベント ログの両方から監査イベントをフィルタします。監査イベントが監査ログに書き込まれない場合、このイベントはイベント ログに送信されません。
また、Windows 2008 イベント ログではボリューム、オーディエンス、および監査イベントが発生したアプリケーションに応じて、監査イベントをチャネルと呼ばれるコンテナにルーティングします。
CA Privileged Access Manager
のチャネルの名前は、CA-AccessControl-AuthorizationEngine/Audit です。
Windows 2008 サーバ上に
CA Privileged Access Manager
を展開する場合、監査イベントの送信先として以下を選択できます。
  • イベント ログ
  • チャネル
  • イベント ログおよびチャネルの両方に送信
  • イベント ログおよびチャネルのどちらにも送信しない

Windows イベント ログへの監査イベントのルーティング

監査イベントを Windows イベント ログにルーティングするように
CA Privileged Access Manager
を設定すると、seosd が監査イベントを
CA Privileged Access Manager
監査ログに書き込むごとに、対応するイベントがイベント ログに送信されます。また、Policy Model 監査イベントをイベント ログに送信するように
CA Privileged Access Manager
を設定することもできます。
イベントをイベント ログにルーティングする方法
  1. 以下のコマンドを使用して、
    CA Privileged Access Manager
    を停止します。
    secons -s
    CA Privileged Access Manager
    が停止します。
  2. logmgr セクションの SendAuditToNativeLog 設定の値を 1 にします。
    監査イベントが Windows イベント ログに送信されます。
  3. (オプション) Pmd セクションの SendAuditToNativeLog 設定の値を 1 にします。
    Policy Model の監査イベントが Windows イベント ログに送信されます。
  4. 以下のコマンドを使用して、
    CA Privileged Access Manager
    を再起動します。
    seosd -start
    CA Privileged Access Manager
    が再起動します。
例: イベント ログへの監査イベントのルーティング
以下の例では、監査イベントをイベント ログにルーティングします。このコマンドを使用するには、リモート設定環境(env config)を使用する必要があります。
er config ACROOT section(logmgr) token(SendAuditToNativeLog) value(1)
例: イベント ログへの Policy Model 監査イベントのルーティング
以下の例では、Policy Model 監査イベントをイベント ログにルーティングします。このコマンドを使用するには、リモート設定環境(env config)を使用する必要があります。
er config ACROOT section(Pmd) token(SendAuditToNativeLog) value(1)

Windows イベント ログ チャネルへの監査イベントのルーティング

Windows Server 2008 のみで有効
監査イベントを Windows イベント ログ チャネルにルーティングするように
CA Privileged Access Manager
を設定すると、seosd が監査イベントを
CA Privileged Access Manager
監査ログに書き込むたびに、対応するイベントがイベント ログ チャネルに送信されます。
CA Privileged Access Manager
のイベント ログ チャネルの名前は、CA-AccessControl-AuthorizationEngine/Audit です。
また、Policy Model 監査イベントをイベント ログ チャネルに送信するように
CA Privileged Access Manager
を設定することもできます。Policy Model イベント ログ チャネルの名前は、CA-AccessControl-Policy Models/Audit です。
イベントをイベント ログ チャネルにルーティングする方法
  1. 以下のコマンドを使用して、
    CA Privileged Access Manager
    を停止します。
    secons -s
    CA Privileged Access Manager
    が停止します。
  2. logmgr レジストリ サブキーの SendAuditToNativeChannel トークンの値を 1 に設定します。
    監査イベントが Windows イベント ログチャネルに送信されます。
  3. (オプション) Pmd レジストリ サブキーの SendAuditToNativeChannel トークンの値を 1 に設定します。
    Policy Model 監査イベントが Windows イベント ログ チャネルに送信されます。
  4. 以下のコマンドを使用して、
    CA Privileged Access Manager
    を再起動します。
    seosd -start
    CA Privileged Access Manager
    が再起動します。
例: イベント ログ チャネルへの監査イベントのルーティング
以下の例では、監査イベントをイベント ログ チャネルにルーティングします。このコマンドを使用するには、リモート設定環境(env config)を使用する必要があります。
er config ACROOT section(logmgr) token(SendAuditToNativeChannel) value(1)
例: イベント ログ チャネルへの Policy Model 監査イベントのルーティング
以下の例では、Policy Model 監査イベントをイベント ログ チャネルにルーティングします。このコマンドを使用するには、リモート設定環境(env config)を使用する必要があります。
er config ACROOT section(Pmd) token(SendAuditToNativeChannel) value(1)