auditrouteflt.cfg ファイルによる監査レコード ルーティングのフィルタ

auditrouteflt.cfg ファイルでは、 が配布サーバに送信しないレコードを定義することによって、監査レコードのルーティングをフィルタリングできます。各行は、監査情報を除外するためのルールを表します。ファイルのパス名は ReportAgent セクションの audit_filter 構成設定で定義されます。
capamsc141
auditrouteflt.cfg ファイルでは、
CA Privileged Access Manager
が配布サーバに送信しないレコードを定義することによって、監査レコードのルーティングをフィルタリングできます。各行は、監査情報を除外するためのルールを表します。ファイルのパス名は ReportAgent セクションの audit_filter 構成設定で定義されます。
フィルタリングされた監査イベントはローカルの監査ファイルに書き込まれますが、
CA Privileged Access Manager
はそれを配布サーバのメッセージ キューに送信しません。ローカルの監査ファイルから監査メッセージを除外するには、logmgr セクションの AuditFiltersFile 構成設定で定義されているファイル(デフォルトでは audit.cfg)にあるフィルタ ルールを変更します。
auditrouteflt.cfg ファイルを使用して、次の監査イベント タイプ、異なる構文別の各タイプのレコードを除去できます。
  • リソース アクセス
  • ネットワーク接続
  • ログイン イベントおよびログアウト イベント
  • セキュリティ データベース管理
  • ユーザのトレース メッセージ
各タイプの構文の列に * がある場合には、「何らかの値」を意味します。
リソース アクセス イベントのフィルタ構文
リソース アクセス イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
  • ClassName
    アクセスされたオブジェクトが属するクラスの名前を定義します。
    クラスの名前は大文字で入力してください。
  • ObjectName
    アクセスされたオブジェクトの名前を定義します。
  • UserName
    アクセサの名前を定義します。
  • ProgramPath
    オブジェクトへのアクセスに使用するプログラムの名前を定義します。
  • アクセス
    オブジェクトへの要求されたアクセスを定義します。
    値は以下のとおりです。
    • *
      アクセスのいずれかのタイプを表すワイルドカード。
    • Chdir
      ディレクトリの変更 - アクセサは、別のディレクトリにオブジェクトを移動するように要求しました。
    • Chmod
      モードの変更 - アクセサがオブジェクトのモードを変更する要求を行った。
    • Chgrp
      (UNIX)グループの変更 - アクセサは、オブジェクトが属するグループを変更するように要求しました。
    • Chown
      所有者の変更 - アクセサは、オブジェクトの所有者を変更するように要求しました。
    • Cre
      作成 - アクセサが新しいオブジェクトを作成する要求を行った。
    • Del
      削除 - アクセサは、オブジェクトを削除するように要求しました。
    • Join
      グループへのユーザの追加 - アクセサは、新しいユーザをグループに追加するように要求しました。
    • Kill
      強制終了 - アクセサは、プロセスを中止するように要求しました。
    • R
      読み取り - アクセサは、オブジェクトへの読み取りアクセスを要求しました。
      (UNIX) STAT_intercept が 1 に設定されている場合、このパラメータには
      stat
      インターセプトが含まれます。
    • 名前の変更
      ファイル名の変更 - アクセサは、オブジェクトのファイル名を変更するように要求しました。
    • Sec
      ACL の変更 - アクセサは、オブジェクトの ACL を編集するように要求しました。
    • Utime
      (UNIX) 時刻の変更 - アクセサは、オブジェクトの変更日時を変更するように要求しました。
    • W
      書き込み - アクセサは、オブジェクトへの書き込みアクセスを要求しました。
    • X
      実行 - アクセサは、オブジェクトを実行するように要求しました。
    一部のクラスでは有効ではない値もあります。たとえば、強制終了アクションは FILE クラスのオブジェクトには使用できないため、強制終了は FILE クラスでは無効な値です。ルールの作成時に無効な値をクラスに入力すると、
    CA Privileged Access Manager
    はファイルの読み取り時にそのルールを無視します。
  • AuthorizationResult
    認証結果を定義します。
    値:
    P (許可されました)、D (拒否されました)、*
ネットワーク接続イベントのフィルタ構文
ネットワーク接続イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult
  • HOST
    HOST クラスのオブジェクト、すなわち TCP 受信接続によって生成されたレコードをルールがフィルタリングするように指定します。
  • TCP
    TCP クラスのオブジェクト、すなわちサービス イベントとの接続によって生成されたレコードをルールがフィルタリングするように指定します。
  • ObjectName
    アクセスされたオブジェクトの名前を定義します。
    ObjectName
    にはサービス名またはポート番号を指定できます。
  • HostName
    ホストの名前を定義します。
    HostName
    は、HOST クラスのオブジェクトである必要があります。
  • ProgramPath
    ログイン プログラムのタイプを定義します。
    (Windows)送信接続では、このパラメータは接続を確立しようとするプロセスのプログラム パスを定義します。
    このパラメータは、受信接続イベントでは何も意味がありません。受信接続イベントによって生成された監査レコードをフィルタリングするためには、このパラメータに * を使用してください。
  • アクセス
    試行された接続のタイプを定義します。
    値は以下のとおりです。
    • (HOST)*
    • (TCP)R(受信接続)、W(送信接続)、*
  • AuthorizationResult
    認証結果を定義します。
    値:
    P (許可されました)、D (拒否されました)、*
ログイン イベントおよびログアウト イベントのフィルタ構文
ログイン イベントまたはログアウト イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
LOGIN;UserName;UserId;TerminalName;LoginProgram;AuthorizationResultOrLoginType
  • LOGIN
    ログイン イベントおよびログアウト イベントによって生成された監査レコードを、ルールによってフィルタリングするよう指定します。
  • UserName
    アクセサの名前を定義します。
  • UserId
    アクセサのネイティブ ユーザ ID を定義します。
  • TerminalName
    イベントが発生したターミナルを定義します。
  • LoginProgram
    ログインまたはログアウトを試みたプログラムの名前を定義します。
  • AuthorizationResultorLoginType
    認証結果を定義します。
    値は以下のとおりです。
    • *
      認証結果のいずれかのタイプを表すワイルドカード。
    • D
      ログイン試行は拒否されました。
    • P
      ログイン試行は許可されました。
    • O
      (UNIX)アクセサはログアウトしました。
    • I
      (UNIX) serevu デーモンは、アクセサのアカウントを無効にしました。
    • E
      (UNIX) serevu デーモンは、アクセサのアカウントを有効にしました。
    • A
      (UNIX)serevu デーモンまたは Pluggable Authentication Module は、不正なパスワードでログインしようとしたユーザを監査しました。
    Windows では、ログアウト イベントは記録されません。
セキュリティ データベース管理イベントのフィルタ構文
セキュリティ データベース管理イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
ADMIN;ClassName;ObjectName;UserName;EffectiveUserName;TerminalName;Command;CommandResult
  • ADMIN
    管理者が実行したイベントによって生成された監査レコードを、ルールがフィルタリングするように指定します。
  • ClassName
    管理者が実行するコマンドのクラスを定義します。
  • ObjectName
    管理者のコマンドが更新したオブジェクトを定義します。
  • UserName
    コマンドを実行したユーザの名前を定義します。
  • EffectiveUserName
    (UNIX)ルールが適用される有効なユーザの名前を定義します。
    (Windows)ルールが適用されるネイティブ ユーザの名前を定義します。
  • TerminalName
    イベントが発生したターミナルを定義します。
  • コマンド
    管理者が実行した selang コマンドを定義します。
  • CommandResult
    認証結果またはコマンド結果を定義します。
    値:
    S(コマンド成功)、F(コマンド失敗)、D(コマンド拒否)、*
ユーザのトレース メッセージ イベントのフィルタ構文
ユーザのトレース メッセージ イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
TRACE;TracedClassName;TracedObjectName;RealUserName;EffectiveUserName;ACUserName;AuthorizationResult;TraceMessage
  • TRACE
    ユーザ トレース レコードをルールがフィルタリングするように指定します。
  • TracedClassName
    ユーザがアクセスしようとしたオブジェクト クラスの名前を定義します。
    クラスの名前は大文字で入力してください。
  • TracedObjectName
    ユーザがアクセスしようとしたオブジェクトの名前を定義します。
  • RealUserName
    (UNIX)トレース レコードを生成した実ユーザの名前を定義します。
    (Windows)トレース レコードを生成したネイティブ ユーザの名前を定義します。
  • EffectiveUserName
    (UNIX)トレース レコードを生成した、有効なユーザの名前を定義します。
    (Windows)トレース レコードを生成したネイティブ ユーザの名前を定義します。このパラメータは、RealUserName パラメータと同一です。このパラメータには * を使用してください。
  • ACUserName
    イベントの許可に
    CA Privileged Access Manager
    が選択したユーザ名を定義します。
  • AuthorizationResult
    認証結果を定義します。
    値:
    P (許可されました)、D (拒否されました)、*
  • TraceMessage
    生成されたトレース メッセージを定義します。
例: ネットワーク接続イベントのフィルタ
  • この例では、正常な受信 telnet 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。
    HOST;telnet;ca.com;*;*;P
  • この例では、拒否された受信および送信ログイン TCP 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。
    TCP;login;ca.com;*;*;D
  • この例では、送信 telnet 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。
    TCP;telnet;ca.com;*;W;*
例:ログインまたはログアウト イベントのフィルタ
  • この例では、root が許可されたアカウントにログインする場合に生成されたすべての監査レコードをフィルタします。
    LOGIN;root;*;*;*;P
  • この例では、システムの CRON プログラムによって root が正常にログインした場合に生成されたすべての監査レコードをフィルタします。
    LOGIN;root;*;*;SBIN_CRON;P
  • この例では、_CRONJOB_ process が root ユーザをログアウトした場合に生成されたすべての監査レコードをフィルタします。
    LOGIN;root;*;_CRONJOB_;*;O
例:セキュリティ データベース管理イベントのフィルタ
この例では、admin01 による正常な FILE 管理コマンドによって生成されたすべての監査レコードをフィルタします。
ADMIN;FILE'*;admin01;*;*;*;S
例:ユーザのトレース メッセージ イベントのフィルタ
この例では、有効なユーザが root であり、root が FILE クラスのオブジェクトにアクセスした場合に生成されたすべてのユーザ トレース レコードをフィルタします。
TRACE;FILE;*;*;root;*;*;*
例: 監査フィルタ ポリシー
監査フィルタ ポリシーの例を以下に示します。
env config er config auditrouteflt.cfg line+("FILE;*;*;R;P")
このポリシーは次の行を auditrouteflt.cfg ファイルに書き込みます。
FILE;*;*;R;P
この行は、ファイル リソースへの読み取りアクセスのためにアクセサが行った許可された試行を記録した監査レコードをフィルタします。