監査ログ(Windows)

内容
capamsc141
内容
監査ログはファイルとして格納されます。監査ログ ファイルの場所は、以下の Windows レジストリ サブキーの
audit_log
値で指定されています。
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\logmgr
このキーのデフォルト値は、以下のとおりです。
C:\Program Files\CA\PAMSC\log\seos.audit
デフォルトでは、監査ログのサイズが 1024 KB に達すると、
Privileged Access Manager
が監査ログを自動的にバックアップします。このサイズを変更するには、以下のサブキーの値
audit_size
を変更します。
HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\logmgr
また、監査ログを定期的に(毎日、毎週、または毎月)バックアップすることもできます。これを行うには、Windows レジストリ サブキーの
BackUp_Date
値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\logmgr
これらのレジストリ サブキーの詳細については、「
リファレンス ガイド
」を参照してください。
監査ログの使用
Privileged Access Manager
では、監査ログの表示、フィルタ、および検索用に以下の 2 つの組み込みツールが提供されています。
  • Privileged Access Manager
    エンドポイント管理
  • seaudit ユーティリティ
監査ログのすべてのレコードを表示することができます。また、フィルタを使用して監査ログから特定のレコードを選択することもできます。
次に、
Privileged Access Manager
エンドポイント管理で監査フィルタを使用して監査ログのレコードを表示する方法について説明します。
監査レコード フィルタ
audit.cfg ファイルでは、監査ファイルに送信しないレコードを定義して、ホスト上の監査レコードをフィルタリングします。ファイルの各行は、監査情報を除外するためのルールを表します。行内の条件に一致するレコードは、監査ファイルには表示されません。このフィルタは、必要なレコードのみを保持して、seos.audit ファイルのサイズを制限する際に有用です。企業の要件に合わせて、audit.cfg ファイルを編集することができます。
デフォルトでは、audit.cfg ファイルは
ACInstallDir
/etc ディレクトリ(UNIX)または
ACInstallDir
\data ディレクトリ(Windows)に配置されています。audit.cfg ファイルの場所は、seos.ini ファイル内の [logmgr] セクションにある AuditFiltersFile トークン(UNIX)または logmgr レジストリ キー内の AuditFiltersFile エントリ(Windows)を編集することによって変更できます。
Privileged Access Manager
エンジン(seosd)は、起動時に audit.cfg ファイルを読み取ります。メッセージが監査ファイルに送信されると、seosd はそのメッセージが audit.cfg ファイル内のいずれかのルールに一致するかどうかをチェックします。メッセージがルールに一致すると、そのメッセージは監査ファイルに書き込まれません。
audit.cfg ファイルの詳細については、「
リファレンス ガイド
」を参照してください。
監査表示フィルタ
監査ログのレコードは、膨大な数になる場合があります。
表示する
レコード数を減らすには、フィルタを使用して、表示するレコードのタイプを指定します。時間やイベント タイプなどのさまざまな基準に基づいて、イベントをフィルタ処理できます。
監査構成設定(audit.cfg ファイル)を使用して、
Privileged Access Manager
が監査ファイルに
書き込む
監査レコードをフィルタ処理することもできます。
Privileged Access Manager
エンドポイント管理でフィルタを作成するには、フィルタに名前を付け、少なくとも 1 つのスイッチを選択します。さらにスイッチを選択し、1 つ以上のオプションを割り当てることができます。seaudit ユーティリティでレコードをフィルタ処理することもできます。
Privileged Access Manager
エンドポイント管理では、いくつかの事前定義済みフィルタが用意されていて、ユーザが独自のフィルタを作成することもできます。
フィルタ ウィザードの[名前とスイッチの選択]ページ
フィルタ ウィザードの[名前とスイッチの選択]ページでは、以下のパラメータを定義できます。
  • 作成する監査表示フィルタの名前
  • このフィルタを適用するスイッチ
このウィンドウには、以下のフィールドが含まれます。
  • フィルタ名
    作成する監査表示フィルタの名前を定義します。
  • 監査イベント レコード
    監査レコードをフィルタ表示させるか、選択したスイッチが適用された監査レコードのみをフィルタ表示させるかを指定します。
    すべてのレコードの一覧表示を選択した場合、このページのスイッチは適用されません。
  • ホストおよびサービスの INET 監査レコードを一覧表示
    指定されたサービスの指定されたホストから受け取った TCP 要求の INET 監査レコードを表示するかどうかを指定します。host および service は、検索対象のホストおよびサービスを特定するマスクです。
  • 端末のユーザの LOGIN を表示
    以下の情報を一覧表示するために指定します。
    • 指定した端末における指定したユーザの LOGIN レコード。
      user
      および
      terminal
      はユーザが定義するマスクです。
    • 無効なパスワードが複数回入力されたときに、認証エンジンによって作成されるレコード。
  • ユーザのリソースのクラスの RESOURCE 監査を一覧表示
    リソース レコードを一覧表示するかどうかを指定します。以下の項目を後で定義できます。
    • class
      は、アクセスされたリソースが属しているクラスを特定するマスクです。
    • resource
      は、アクセスされたリソースの名前を特定するマスクです。
    • user
      は、リソースにアクセスしたユーザの名前を特定するマスクです。
  • データベースの更新を一覧表示
    データベース更新の監査レコードを一覧表示します。以下を定義できます。
    • cmd
      は、検索対象の selang コマンドを特定するマスクです。
    • class
      は、検索対象のクラスを特定するマスクです。
    • object
      は、検索対象のレコードを特定するマスクです。
    • user
      は、コマンドを実行したユーザを特定するマスクです。
  • 起動/停止のメッセージを一覧表示
    Privileged Access Manager
    サービスからの起動および停止メッセージを一覧表示するかどうかを指定します。
  • WATCHDOG 監査レコードを一覧表示
    監査レコードを一覧表示するかどうかを指定します。
  • トレース レコードのみを表示
    トレース機能によって監査ログに送信されたレコードのみを一覧表示するかどうかを指定します。
フィルタ ウィザードの[オプションの編集]ページ
フィルタ ウィザードの[オプションの編集]ページでは、監査表示フィルタに適用するオプションを定義できます。
このウィンドウには、以下のフィールドが含まれます。
  • 現在の日付から一覧表示
    現在の日付を開始日として指定します。現在の日付よりも前にログに記録されたレコードは一覧表示されません。
  • 一覧表示の開始日
    開始日を指定します。指定された日付より前にログに記録されたレコードは表示されません。
  • 一覧表示の開始時刻
    開始時刻を指定します。指定された時刻より前にログに記録されたレコードは表示されません。
  • 一覧表示の終了日
    終了日を指定します。指定された日付より後にログに記録されたレコードは表示されません。
  • 一覧表示の終了時刻
    終了時刻を指定します。指定した時刻より後にログに記録されたレコードは表示されません。
  • ホスト名ではなく、インターネット アドレスを表示
    TCP/IP レコードのホスト名ではなく、インターネット アドレスを表示することを指定します。
  • 失敗を非表示
    失敗したレコードが表示されないように指定します。
  • 許可されたアクセスのレコードを非表示
    成功した(許可された)アクセスのレコードを表示しないことを指定します。
  • ログアウト レコードを非表示
    ログアウト レコードを表示しないことを指定します。
  • NOTIFY 監査レコードを非表示
    NOTIFY 監査レコードを表示しないことを指定します。
  • パスワード試行およびアクションを非表示
    パスワード試行レコードを表示しないことを指定します。
  • 警告レコードを非表示
    警告レコードを表示しないことを指定します。
  • 名前ではなくポート番号を表示
    サービス名ではなくポート番号を表示することを指定します。
  • host
    から送信されたレコードのみ表示
    指定したホストから送信されたレコードのみを表示することを指定します。このオプションは、UNIX ワークステーションに接続している場合にのみ適用可能です。
事前定義フィルタ
Privileged Access Manager
には、以下の事前定義フィルタがあります。
  • すべてのレコード
    監査ログのすべてのレコードを表示します。フィルタ処理は行われません。
  • 今日のレコード
    今日作成されたレコードをすべて表示します。
  • 過去 2 日間のレコード
    昨日と今日に作成されたすべてのレコードを表示します。
  • 過去 7 日間のレコード
    過去 7 日間に作成されたすべてのレコードを表示します。
  • Privileged Access Manager
    サービスへの接続
    Privileged Access Manager
    エンドポイント管理や selang などの
    Privileged Access Manager
    のサービスに、ユーザが接続したことを示すレコードを表示します。
    UNIX ワークステーションに接続している場合は、このフィルタの名前は「ログイン レコード」になります。このレコードは、ユーザ ログインを表します。
  • 管理アクティビティ
    Privileged Access Manager
    またはオペレーティング システムのデータベースを更新するすべてのレコードを表示します。データベースの更新には、すべての種類のレコードの追加、削除、および変更が含まれます。
ユーザ定義フィルタの作成
フィルタは、必要な数だけ作成できます。特定の監査レコード セットのみを表示したい場合は、カスタム フィルタを作成します。
ユーザ定義フィルタを作成するには、以下の手順に従います。
  1. Privileged Access Manager
    エンドポイント管理で、[監査イベント]タブをクリックします。
    [監査レコード ビューア - フィルタ設定]セクションに、保存済みフィルタのリストが表示されます。
  2. [保存済みフィルタ]セクションで、[フィルタの作成]をクリックします。
    [監査フィルタ ウィザード]が表示されます。
  3. ウィザード ページを終了します。
    • 名前とスイッチの選択
      フィルタで使用するスイッチを指定します。
    • スイッチの編集
      選択したスイッチの設定を指定します。これらの設定は、フィルタ処理する監査イベントに対して定義するマスクです。
    • オプションの編集
      監査フィルタに設定するオプションを指定します。
    [完了]をクリックします。
    定義した新しい監査フィルタが保存されて、読み込まれます。
監査ログのバックアップ
Privileged Access Manager
では、監査ログ ファイルを自動的にバックアップし、アーカイブすることができます。
監査ログ バックアップ ファイルの名前は、logmgr\audit_back
Privileged Access Manager
レジストリ エントリに設定されます。
以下の方法で、監査ログ ファイルをバックアップすることができます。
  • サイズによるバックアップ
  • 日付によるバックアップ
監査ログ ファイルのバックアップに使用する方法および設定は、以下の要因によって異なります。
  • ログ ファイルのバックアップ コピーが必要かどうか
  • 環境内でどの程度の監査データが生成される見込みか
  • システムのパフォーマンスに関する問題(監査ログ ファイルのサイズが大きくなると、処理時間に影響があるなど)
タイムスタンプ付きバックアップを保持する設定の場合、デフォルトで
Privileged Access Manager
は監査ログのバックアップ ファイルを保護します。これはサイズによる監査バックアップ ファイルの受信と同じデフォルトの保護です。これらのファイルを削除するには、データベースに許可ルールを設定します。
監査ログの自動バックアップのためのサイズ設定
監査ログ ファイルはサイズの制限を設定することができます。ファイルが定義されたサイズに達すると、
Privileged Access Manager
は自動的にファイルのバックアップ コピーを作成して、ログをクリアします。これは、ファイルが定期的に自動バックアップされることを意味します。
監査ログが自動バックアップされるサイズを設定するには、logmgr\audit_size
Privileged Access Manager
レジストリ エントリに、必要な最大値を KB 単位で設定します。
バックアップ ファイルの名前を定義するには、logmgr\audit_back
Privileged Access Manager
レジストリ エントリを設定します。
logmgr/BackUp_Date
Privileged Access Manager
レジストリ エントリが「yes」(デフォルトは「no」)に設定されている場合、監査ログの、サイズによるバックアップの各コピーには、名前の前にタイムスタンプが付けられます。それ以外の場合(日付によるバックアップが設定されている場合など)は、バックアップ コピーごとに、以前作成されたバックアップ コピーが
上書き
されます。
例: 監査ログ ファイルのサイズが 5 MB に達したら、自動バックアップを行うように設定する
この例では、監査ログ ファイルのサイズが 5 MB(5120 KB)に達したときに、バックアップするように設定する方法を示します。これを行うには、logmgr\audit_size
Privileged Access Manager
レジストリ エントリの値を
5120
に設定します。
監査ログ ファイルが 5 MB に達すると、
Privileged Access Manager
はファイルのバックアップ コピーを作成し、デフォルトで「seos.audit.bak」という名前を付け、ログをクリアします。
例: 監査ログ ファイルのサイズが 1 MB に達したら、自動バックアップを行うように設定し、カスタム名とタイムスタンプを付ける
この例では、監査ログ ファイルのサイズが 1 MB(1024 KB)に達したら、バックアップするように設定し、バックアップ ファイルにカスタム名を付け、名前にタイムスタンプを追加する方法を示します。
これを行うには、以下のように
Privileged Access Manager
レジストリ エントリを設定します。
  • logmgr\audit_size=1024
  • logmgr\audit_back=log\ac_audit.old
  • logmgr\BackUp_Date=yes
監査ログ ファイルのサイズが 1 MB に達すると、
Privileged Access Manager
はファイルのバックアップ コピーを作成し、ログをクリアします。バックアップ ログ ファイル名は ac_audit.old.
timestamp
という形式になります。ここで、
timestamp
は DD-Mon-YYYY.hhmmss 形式の日時です。以下に例を示します。
ac_audit.old.06-Feb-2007.144330
監査ログの自動バックアップの時間間隔の指定
Privileged Access Manager
が監査ログ ファイルのバックアップ コピーを自動的に作成して、ログをクリアする時間間隔(毎日、毎週、毎月)を定義できます。
監査ログが自動的にバックアップされる時間間隔を設定するには、logmgr\BackUp_Date
Privileged Access Manager
レジストリ エントリで時間間隔を設定します。時間間隔には、以下のいずれかを指定できます。
  • 毎日
    1 日に 1 回、監査ログ ファイルをバックアップします。
  • 毎週
    週に 1 回、監査ログ ファイルをバックアップします。
  • 毎月
    月に 1 回、監査ログ ファイルをバックアップします。
バックアップ ファイルの名前を定義するには、logmgr\audit_back
Privileged Access Manager
レジストリ エントリを設定します。
監査ログが、バックアップ間隔より前に、logmgr\audit_size
Privileged Access Manager
レジストリ エントリで指定されたサイズの制限に達すると、製品はファイルのバックアップ コピーを作成しますが、タイムスタンプは付与されません。このような各バックアップ コピーによって、以前のコピーが上書きされる可能性があります。
例: 監査ログ ファイルの日次バックアップを設定する
この例では、監査ログ ファイルの日次バックアップの設定方法について説明します。これを行うには、logmgr\BackUp_Date
Privileged Access Manager
レジストリを
daily
に設定します。
1 日に 1 回、
Privileged Access Manager
はファイルのバックアップ コピーを作成し、ログをクリアします。バックアップ ログ ファイル名には「
.timestamp
」というサフィックスが付けられます。ここで、
timestamp
は「DD-Mon-YYYY.hhmmss」という形式の日時です。以下に例を示します。
seos.audit.bak.06-Feb-2007.144330