seaudit ユーティリティ - 監査ログ レコードの表示
seaudit ユーティリティは、 監査ログ ファイルのレコードを表示します。Windows 上で seaudit ユーティリティを実行するには、AUDITOR 属性が必要で、seos.ini 内で audir_group に属している必要があります。パスワードが含まれる監査レコードを表示する場合、seaudit によってパスワードのテキストがアスタリスク(***)に置き換えられて、パスワードが保護されます。
capamsc141
seaudit ユーティリティは、
CA Privileged Access Manager
監査ログ ファイルのレコードを表示します。Windows 上で seaudit ユーティリティを実行するには、AUDITOR 属性が必要で、seos.ini 内で audir_group に属している必要があります。パスワードが含まれる監査レコードを表示する場合、seaudit によってパスワードのテキストがアスタリスク(***)に置き換えられて、パスワードが保護されます。 コマンドのスイッチおよびオプションでは、文字列マッチングが使用できます。マスクの引数を自動的に展開する UNIX シェルもあります。従って、このようなシェルから seaudit を起動する場合は、マスクがシェルによって処理されないように、アスタリスクまたは疑問符の前に円記号(\)を入力する必要があります。
seaudit ユーティリティでは、トレース レコードがユーザ ID 別ではなく、ユーザ名別に表示されます。
このコマンドの形式は以下のようになります。
seaudit switch [options]
- switchseaudit ユーティリティの操作モードを定義します。以下のオプションのいずれかになります。
- -a | -allすべてのレコードを表示します。ただし、トレース機能によって監査ログに送信されたユーザ トレース レコードは除きます。UNIX で使用可能な、接続された TCP レコードも表示されません。これらのレコードを表示するには、-c オプションを指定します。
- -, | -helpこのユーティリティのヘルプ画面を表示します。
- {-i | -inet}hostservice指定されたサービスの指定されたホストから受け取った TCP 要求の INET 監査レコードを表示します。hostおよびserviceは、seaudit が検索するホストとサービスを特定するマスクです。UNIX 上で、接続が行われたネットワーク ID(ポート番号)を持つ TCP レコードを一覧表示するには -c フラグを追加します。以下に例を示します。seaudit -i -c myhost telnet
- {-l | -login}user1,user2, ...terminal指定された端末上の、カンマで区切られた指定ユーザに関する LOGIN レコードを表示します。userとterminalはいずれもマスクです。UNIX では、serevu がユーザを有効化または無効化する際に、serevu によって作成されるレコード、および無効なパスワードが入力される際に許可デーモンによって作成されるレコードも表示されます。
- {-r | -resource}classresourceuser1, user2, ...カンマで区切られた指定ユーザについて、指定されたリソースの指定されたクラスに関する一般リソース監査レコードを表示します。
- classは、アクセスされたリソースが属しているクラスを特定するマスクです。
- resourceは、アクセスされたリソースの名前を特定するマスクです。
- userは、リソースにアクセスしたユーザの名前を特定するマスクです。
- -s | -startCA Privileged Access Managerの起動メッセージおよび停止メッセージを表示します。
- -St | -Statmessage_number(UNIX のみ)。Watchdog のメッセージ番号の説明を表示します。
- -t | -tableログ コードの表を表示します。
- -trアクティビティがトレース対象になっているすべてのユーザのトレース レコードを表示します。注:トレース レコードは、ログイン セッション ID 列をデフォルトで表示します。この列を表示しない場合は、-format オプションを使用します。
- -trrresource指定されたリソースのトレース レコードを表示します。
- -tru {uid1|user1}, {uid1|user2}, ...指定されたユーザ ID またはユーザ名を持つユーザのトレース レコードを表示します。
- -ucommandclassrecorduser以下のようなデータベース更新の監査レコードを表示します。
- commandは、検索対象の selang のコマンド セットを特定するマスクです。
- classは、検索対象のクラスを特定するマスクです。
- recordは、検索対象のレコードを特定するマスクです。
- userは、コマンドを実行したユーザを特定するマスクです。
- -wWatchdog の監査レコードを表示します。内部的に保護されたファイルがユーザによって削除されると、ユーザ トレースはイベントを記録しません。
- オプションユーティリティが情報を表示する方法を変更する、オプションの修飾子を定義します。以下のオプションから 1 つ以上を指定できます。
- -c(UNIX のみ)。接続されたINET レコードを表示します。これらのレコードはセッション ID の追跡用に生成され、成功した TCP 接続のポート番号を一覧表示します。たとえば、ユーザ(user1)が Telnet セッションを comp1 から comp2 に開きます。comp1 と comp2 の両方にCA Privileged Access Managerがインストールされています。comp2 のCA Privileged Access Managerは、Telnet セッションでログインしたユーザ(user1 以外のユーザの場合もあります)の認証情報で、確認応答を comp1 に送信するように設定(logconnected 設定)できます。comp1 はこの確認応答を受け取ると、TCP-CONNECTED レコード(セッション確立レコード)を作成します。このレコードは、-c オプションを使用して表示できます。
- -detail各レコードに関する詳細情報を表示します。
- -delimdelimiter最初のフィールドの前および残りの各フィールド間で使用する区切り文字を定義します。たとえば、以下のコマンドにより、フィールド全体が引用符で囲まれ、各フィールドがカンマで区切られて表示されます。seaudit -a -delim \,\
- -delim2delimiter区切り文字が最初のフィールドの前に表示されないこと以外は、-delim オプションと同じです。
- -delim3delimiter曜日、月、年の間の区切り文字が含まれる以外は、-delim オプションと同じです。
- -delim4delimiter-delim2 オプションと同じです。
- -eddate終了日を指定します。この日付より後にログに記録されたレコードは表示されません。以下の 2 つの方法のいずれかを使用して、日付を指定できます。
- dd-mm-yyyy形式を使用します。
- 文字列todayを使用して、今日の日付を設定します。
today」の後に「-」と数値を指定することもできます。これにより、今日の日付から指定された日数だけ前の日付を定義できます。たとえば、today-3は、現在の日付から 3 日前を開始日とすることを意味します。 - -ettime終了時刻を指定します。この日付より後にログに記録されたレコードは表示されません。以下の 2 つの方法のいずれかを使用して、時刻を指定できます。
- 24 時間形式のhh:mmを使用します。
- 文字列nowを使用して、現在の時刻を設定します。文字列「now」の後に「-」(マイナス)と数値を指定することもできます。これにより、現在の時刻から指定された分数だけ前の時刻を定義できます。たとえば、now-60は、現在の時刻から 60 分(1 時間)前を開始時刻とすることを意味します。特定の日付の範囲内で時間枠を正確に定義するには、このオプションを -sd、-ed、またはその両方と組み合わせて指定します。
注:
now
文字列は当日の時間に対して有効です。たとえば、現在の時刻が 130 am であれば、now-89
と指定します。now-90
と指定すると、レコードは表示されません。-f | -failure
失敗したアクセスを表示
しない
ように指定します。- {-fn | -file}fileName検索対象の監査ログ ファイルの名前を指定します。
- -formatrelease出力形式がCA Privileged Access Managerリリースの形式と同じであるように指定します。release- リリース番号を定義します。有効値は以下のとおりです。
- 80sp1- r8 SP1 の出力には、新しいリリースに存在する有効な UID 列は含まれせん。
- 12- r12.0 の出力には、パスワード変更レコードを表示する機能は含まれません。トレース レコードでは、r12.0 の出力にもログイン セッション ID 情報は含まれていませんでした。
- -g | -grant成功した(許可された)アクセスを表示しないように指定します。
- -gn | -grantnotify通知レコードを除き、成功した(許可された)アクセスを表示しないように指定します。
- -kbl -a -sidsid{-rp | -pr | -cmd | -exe | -disp}(UNIX のみ)キー ロギング監査ファイル(kbl.audit)のコンテンツを表示するよう指定します。
- -a監査ファイル内の記録されたセッションをすべて表示します。
- -sidsidキー ロギング セッション ID を指定します。
- -rpキー ロギング セッション全体を再生します。
- -prキー ロギング セッション全体を表示します(制御文字を除く)。
- -cmd(UNIX のみ)コマンド ラインのロギング セッション中にユーザが入力したコマンドを表示します。
- -exeユーザがシェルで実行したコマンドの EXECARGS の詳細を表示します。
- -disp記録されたセッション期間を表示するように指定します。
このコマンドは、シェル bash、tcsh、csh、ksh、jsh、rsh、ash、zsh で実行できます。 - -logout(UNIX のみ)ログアウト レコードを表示しないように指定します。
- -millennium(UNIX のみ)年が下 2 桁ではなく 4 桁で表示されるように指定します。
- -n | -netaddrTCP/IP レコードのホスト名ではなく、インターネット アドレスが表示されるように指定します。
- -notifyNOTIFY 監査レコードが表示されないように指定します。
- {-o | -origin}host指定されたホストから送信されたレコードのみが表示されるように指定します。このオプションが適用できるのは、selogrcd ログ ルーティング収集デーモンによって作成された統合監査ファイルからレコードを参照する場合のみです。
- -pwa(UNIX のみ)パスワード試行レコードが表示されないように指定します。
- -sddate開始日を指定します。この日付より前にログに記録されたレコードは表示されません。以下の 2 つの方法のいずれかを使用して、日付を指定できます。
- dd-mm-yyyy形式を使用します。
- 文字列todayを使用して、今日の日付を設定します。
today」の後に「-」と数値を指定することもできます。これにより、今日の日付から指定された日数だけ前の日付を定義できます。たとえば、today-3は、現在の日付から 3 日前を開始日とすることを意味します。 - sessionidユーザ ログイン セッション ID 情報が含まれている列を表示するように指定します。この列は、デフォルトでは非表示です。このオプションは、r12.0 SP1 以上のエンドポイントでのみ有効です。
- -sttime開始時刻を指定します。この日付より前にログに記録されたレコードは表示されません。以下の 2 つの方法のいずれかを使用して、時刻を指定できます。
- 24 時間形式のhh:mmを使用します。
- 文字列nowを使用して、現在の時刻を設定します。
now」の後に「-」(マイナス)と数値を指定することもできます。これにより、現在の時刻から指定された分数だけ前の時刻を定義できます。たとえば、now-60は、現在の時刻から 60 分(1 時間)前を開始時刻とすることを意味します。特定の日付の範囲内で時間枠を正確に定義するには、このオプションを -sd、-ed、またはその両方と組み合わせて指定します。
注:
now
文字列は当日の時間に対して有効です。たとえば、現在の時刻が 130 am であれば、now-89
と指定します。now-90
と指定すると、レコードは表示されません。-v | -servnum
サービス名ではなく、ポート番号が表示されるように指定します。
- -warn警告レコードが表示されないように指定します。
例
- 2004 年 1 月 3 日以降のすべての監査レコードを一覧表示するには、以下のコマンドを使用します。seaudit -a -sd 04-Jan-2004
- 2004 年 1 月 3 日に実行された、root ユーザによる任意の端末からの失敗したログインを一覧表示するには、以下のコマンドを使用します。seaudit -sd 04-Jan-2004 -ed 04-Jan-2004 -l root * -g
- ユーザ John が FILE クラスのすべてのリソースに対して行ったすべてのアクセスを一覧表示するには、以下のコマンドを使用します。seaudit -r FILE "*" John
- すべての日付の 17:00 (最初の日)から 08:00 (次の日)の間に記録されたすべての監査レコードを一覧表示するには、以下のコマンドを使用します。seaudit -a -st 17:00 -et 08:00
- 08:00 から 17:00 の間に記録されたすべての監査レコードを一覧表示するには、以下のコマンドを使用します。seaudit -a -st 08:00 -et 17:00
- 1 人のユーザについて、ログインおよびリソースへのアクセスに関するすべての警告レコードを一覧表示するには、以下のコマンドを使用します。seaudit -login * * -resource * * * -grant -failure -logout -pwa
- 2 人のユーザについて、すべてのログイン レコードを一覧表示するには、以下のコマンドを使用します。seaudit -login "user1, user2"
- 昨日の監査レコードをすべて一覧表示するには、以下のコマンドを使用します。seaudit -a -sd today-1 -ed today-1
- kbl.audit ログ ファイル内の監査レコードをすべて一覧表示するには、以下のコマンドを使用します。seaudit -kbl
- 監査ファイル内に記録されたセッションをすべて表示するには、以下のコマンドを使用します。seaudit -kbl -a
- キーボード ロガー監査ログ ファイルを表示するには、以下のコマンドを使用します。seaudit -kbl -a -sid 22764
- ユーザ セッションを再生するには、以下のコマンドを使用します。seaudit -kbl -sid 22316 -rp
- ユーザがセッション中に入力したコマンドをすべて表示するには、以下のコマンドを使用します。seaudit -kbl -sid 22316 -cmd
- UID 244 の単一ユーザがファイルにアクセスしようとしたアクティビティをトレースする監査レコードをすべて一覧表示するには、以下のコマンドを使用します。seaudit -tru 244 -trr FILE
- 2 人のユーザのアクティビティをトレースする監査レコードをすべて一覧表示するには、以下のコマンドを使用します。seaudit -tru "user1, 244"
- 5 分前から記録された監査レコードをすべて一覧表示するには、以下のコマンドを使用します。# dateFri Nov 25 01:50:00 EST 2016# /opt/CA/PAMSC/bin/seaudit -a -st now-5CA Privileged Access Manager Server Control seaudit <version> - Audit log listerCopyright (c) 2013 CA. All rights reserved.25 Nov 2016 01:45:00 P FILE root Read 54 2 /etc/security/passwd /usr/sbin/cron root25 Nov 2016 01:45:00 P FILE root Read 54 2 /etc/security/passwd /usr/sbin/cron root25 Nov 2016 01:45:00 P FILE root Read 54 2 /etc/security/passwd /usr/sbin/cron root25 Nov 2016 01:45:00 P LOGIN root 59 2 _CRONJOB_ USR_SBIN_CRON25 Nov 2016 01:45:00 P FILE root Read 54 2 /etc/security/passwd /usr/sbin/cron _CRONJOB_ root25 Nov 2016 01:45:00 O LOGOUT root 49 2 _CRONJOB_Total records displayed 6