監査ログ(Windows)
内容
capamsc141
内容
監査ログはファイルとして格納されます。監査ログ ファイルの場所は、以下の Windows レジストリ サブキーの
audit_log
値で指定されています。HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\logmgr
このキーのデフォルト値は、以下のとおりです。
C:\Program Files\CA\PAMSC\log\seos.audit
デフォルトでは、監査ログのサイズが 1024 KB に達すると、
Privileged Access Manager
が監査ログを自動的にバックアップします。このサイズを変更するには、以下のサブキーの値 audit_size
を変更します。HKEY_LOCAL_MACHINE\Software\ComputerAssociates\AccessControl\logmgr
また、監査ログを定期的に(毎日、毎週、または毎月)バックアップすることもできます。これを行うには、Windows レジストリ サブキーの
BackUp_Date
値を変更します。HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\logmgr
これらのレジストリ サブキーの詳細については、「
リファレンス ガイド
」を参照してください。監査ログの使用
Privileged Access Manager
では、監査ログの表示、フィルタ、および検索用に以下の 2 つの組み込みツールが提供されています。- Privileged Access Managerエンドポイント管理
- seaudit ユーティリティ
監査ログのすべてのレコードを表示することができます。また、フィルタを使用して監査ログから特定のレコードを選択することもできます。
次に、
Privileged Access Manager
エンドポイント管理で監査フィルタを使用して監査ログのレコードを表示する方法について説明します。監査レコード フィルタ
audit.cfg ファイルでは、監査ファイルに送信しないレコードを定義して、ホスト上の監査レコードをフィルタリングします。ファイルの各行は、監査情報を除外するためのルールを表します。行内の条件に一致するレコードは、監査ファイルには表示されません。このフィルタは、必要なレコードのみを保持して、seos.audit ファイルのサイズを制限する際に有用です。企業の要件に合わせて、audit.cfg ファイルを編集することができます。
デフォルトでは、audit.cfg ファイルは
ACInstallDir
/etc ディレクトリ(UNIX)または ACInstallDir
\data ディレクトリ(Windows)に配置されています。audit.cfg ファイルの場所は、seos.ini ファイル内の [logmgr] セクションにある AuditFiltersFile トークン(UNIX)または logmgr レジストリ キー内の AuditFiltersFile エントリ(Windows)を編集することによって変更できます。Privileged Access Manager
エンジン(seosd)は、起動時に audit.cfg ファイルを読み取ります。メッセージが監査ファイルに送信されると、seosd はそのメッセージが audit.cfg ファイル内のいずれかのルールに一致するかどうかをチェックします。メッセージがルールに一致すると、そのメッセージは監査ファイルに書き込まれません。 audit.cfg ファイルの詳細については、「
リファレンス ガイド
」を参照してください。監査表示フィルタ
監査ログのレコードは、膨大な数になる場合があります。
表示する
レコード数を減らすには、フィルタを使用して、表示するレコードのタイプを指定します。時間やイベント タイプなどのさまざまな基準に基づいて、イベントをフィルタ処理できます。 監査構成設定(audit.cfg ファイル)を使用して、
Privileged Access Manager
が監査ファイルに書き込む
監査レコードをフィルタ処理することもできます。Privileged Access Manager
エンドポイント管理でフィルタを作成するには、フィルタに名前を付け、少なくとも 1 つのスイッチを選択します。さらにスイッチを選択し、1 つ以上のオプションを割り当てることができます。seaudit ユーティリティでレコードをフィルタ処理することもできます。Privileged Access Manager
エンドポイント管理では、いくつかの事前定義済みフィルタが用意されていて、ユーザが独自のフィルタを作成することもできます。フィルタ ウィザードの[名前とスイッチの選択]ページ
フィルタ ウィザードの[名前とスイッチの選択]ページでは、以下のパラメータを定義できます。
- 作成する監査表示フィルタの名前
- このフィルタを適用するスイッチ
このウィンドウには、以下のフィールドが含まれます。
- フィルタ名作成する監査表示フィルタの名前を定義します。
- 監査イベント レコード監査レコードをフィルタ表示させるか、選択したスイッチが適用された監査レコードのみをフィルタ表示させるかを指定します。すべてのレコードの一覧表示を選択した場合、このページのスイッチは適用されません。
- ホストおよびサービスの INET 監査レコードを一覧表示指定されたサービスの指定されたホストから受け取った TCP 要求の INET 監査レコードを表示するかどうかを指定します。host および service は、検索対象のホストおよびサービスを特定するマスクです。
- 端末のユーザの LOGIN を表示以下の情報を一覧表示するために指定します。
- 指定した端末における指定したユーザの LOGIN レコード。userおよびterminalはユーザが定義するマスクです。
- 無効なパスワードが複数回入力されたときに、認証エンジンによって作成されるレコード。
- ユーザのリソースのクラスの RESOURCE 監査を一覧表示リソース レコードを一覧表示するかどうかを指定します。以下の項目を後で定義できます。
- classは、アクセスされたリソースが属しているクラスを特定するマスクです。
- resourceは、アクセスされたリソースの名前を特定するマスクです。
- userは、リソースにアクセスしたユーザの名前を特定するマスクです。
- データベースの更新を一覧表示データベース更新の監査レコードを一覧表示します。以下を定義できます。
- cmdは、検索対象の selang コマンドを特定するマスクです。
- classは、検索対象のクラスを特定するマスクです。
- objectは、検索対象のレコードを特定するマスクです。
- userは、コマンドを実行したユーザを特定するマスクです。
- 起動/停止のメッセージを一覧表示Privileged Access Managerサービスからの起動および停止メッセージを一覧表示するかどうかを指定します。
- WATCHDOG 監査レコードを一覧表示監査レコードを一覧表示するかどうかを指定します。
- トレース レコードのみを表示トレース機能によって監査ログに送信されたレコードのみを一覧表示するかどうかを指定します。
フィルタ ウィザードの[オプションの編集]ページ
フィルタ ウィザードの[オプションの編集]ページでは、監査表示フィルタに適用するオプションを定義できます。
このウィンドウには、以下のフィールドが含まれます。
- 現在の日付から一覧表示現在の日付を開始日として指定します。現在の日付よりも前にログに記録されたレコードは一覧表示されません。
- 一覧表示の開始日開始日を指定します。指定された日付より前にログに記録されたレコードは表示されません。
- 一覧表示の開始時刻開始時刻を指定します。指定された時刻より前にログに記録されたレコードは表示されません。
- 一覧表示の終了日終了日を指定します。指定された日付より後にログに記録されたレコードは表示されません。
- 一覧表示の終了時刻終了時刻を指定します。指定した時刻より後にログに記録されたレコードは表示されません。
- ホスト名ではなく、インターネット アドレスを表示TCP/IP レコードのホスト名ではなく、インターネット アドレスを表示することを指定します。
- 失敗を非表示失敗したレコードが表示されないように指定します。
- 許可されたアクセスのレコードを非表示成功した(許可された)アクセスのレコードを表示しないことを指定します。
- ログアウト レコードを非表示ログアウト レコードを表示しないことを指定します。
- NOTIFY 監査レコードを非表示NOTIFY 監査レコードを表示しないことを指定します。
- パスワード試行およびアクションを非表示パスワード試行レコードを表示しないことを指定します。
- 警告レコードを非表示警告レコードを表示しないことを指定します。
- 名前ではなくポート番号を表示サービス名ではなくポート番号を表示することを指定します。
- hostから送信されたレコードのみ表示指定したホストから送信されたレコードのみを表示することを指定します。このオプションは、UNIX ワークステーションに接続している場合にのみ適用可能です。
事前定義フィルタ
Privileged Access Manager
には、以下の事前定義フィルタがあります。- すべてのレコード監査ログのすべてのレコードを表示します。フィルタ処理は行われません。
- 今日のレコード今日作成されたレコードをすべて表示します。
- 過去 2 日間のレコード昨日と今日に作成されたすべてのレコードを表示します。
- 過去 7 日間のレコード過去 7 日間に作成されたすべてのレコードを表示します。
- Privileged Access Managerサービスへの接続Privileged Access Managerエンドポイント管理や selang などのPrivileged Access Managerのサービスに、ユーザが接続したことを示すレコードを表示します。UNIX ワークステーションに接続している場合は、このフィルタの名前は「ログイン レコード」になります。このレコードは、ユーザ ログインを表します。
- 管理アクティビティPrivileged Access Managerまたはオペレーティング システムのデータベースを更新するすべてのレコードを表示します。データベースの更新には、すべての種類のレコードの追加、削除、および変更が含まれます。
ユーザ定義フィルタの作成
フィルタは、必要な数だけ作成できます。特定の監査レコード セットのみを表示したい場合は、カスタム フィルタを作成します。
ユーザ定義フィルタを作成するには、以下の手順に従います。
- Privileged Access Managerエンドポイント管理で、[監査イベント]タブをクリックします。[監査レコード ビューア - フィルタ設定]セクションに、保存済みフィルタのリストが表示されます。
- [保存済みフィルタ]セクションで、[フィルタの作成]をクリックします。[監査フィルタ ウィザード]が表示されます。
監査ログのバックアップ
Privileged Access Manager
では、監査ログ ファイルを自動的にバックアップし、アーカイブすることができます。監査ログ バックアップ ファイルの名前は、logmgr\audit_back
Privileged Access Manager
レジストリ エントリに設定されます。以下の方法で、監査ログ ファイルをバックアップすることができます。
- サイズによるバックアップ
- 日付によるバックアップ
監査ログ ファイルのバックアップに使用する方法および設定は、以下の要因によって異なります。
- ログ ファイルのバックアップ コピーが必要かどうか
- 環境内でどの程度の監査データが生成される見込みか
- システムのパフォーマンスに関する問題(監査ログ ファイルのサイズが大きくなると、処理時間に影響があるなど)
タイムスタンプ付きバックアップを保持する設定の場合、デフォルトで
Privileged Access Manager
は監査ログのバックアップ ファイルを保護します。これはサイズによる監査バックアップ ファイルの受信と同じデフォルトの保護です。これらのファイルを削除するには、データベースに許可ルールを設定します。監査ログの自動バックアップのためのサイズ設定
監査ログ ファイルはサイズの制限を設定することができます。ファイルが定義されたサイズに達すると、
Privileged Access Manager
は自動的にファイルのバックアップ コピーを作成して、ログをクリアします。これは、ファイルが定期的に自動バックアップされることを意味します。監査ログが自動バックアップされるサイズを設定するには、logmgr\audit_size
Privileged Access Manager
レジストリ エントリに、必要な最大値を KB 単位で設定します。 バックアップ ファイルの名前を定義するには、logmgr\audit_back
Privileged Access Manager
レジストリ エントリを設定します。 logmgr/BackUp_Date
Privileged Access Manager
レジストリ エントリが「yes」(デフォルトは「no」)に設定されている場合、監査ログの、サイズによるバックアップの各コピーには、名前の前にタイムスタンプが付けられます。それ以外の場合(日付によるバックアップが設定されている場合など)は、バックアップ コピーごとに、以前作成されたバックアップ コピーが上書き
されます。例: 監査ログ ファイルのサイズが 5 MB に達したら、自動バックアップを行うように設定する
この例では、監査ログ ファイルのサイズが 5 MB(5120 KB)に達したときに、バックアップするように設定する方法を示します。これを行うには、logmgr\audit_size
Privileged Access Manager
レジストリ エントリの値を 5120
に設定します。監査ログ ファイルが 5 MB に達すると、
Privileged Access Manager
はファイルのバックアップ コピーを作成し、デフォルトで「seos.audit.bak」という名前を付け、ログをクリアします。例: 監査ログ ファイルのサイズが 1 MB に達したら、自動バックアップを行うように設定し、カスタム名とタイムスタンプを付ける
この例では、監査ログ ファイルのサイズが 1 MB(1024 KB)に達したら、バックアップするように設定し、バックアップ ファイルにカスタム名を付け、名前にタイムスタンプを追加する方法を示します。
これを行うには、以下のように
Privileged Access Manager
レジストリ エントリを設定します。- logmgr\audit_size=1024
- logmgr\audit_back=log\ac_audit.old
- logmgr\BackUp_Date=yes
監査ログ ファイルのサイズが 1 MB に達すると、
Privileged Access Manager
はファイルのバックアップ コピーを作成し、ログをクリアします。バックアップ ログ ファイル名は ac_audit.old.timestamp
という形式になります。ここで、timestamp
は DD-Mon-YYYY.hhmmss 形式の日時です。以下に例を示します。ac_audit.old.06-Feb-2007.144330
監査ログの自動バックアップの時間間隔の指定
Privileged Access Manager
が監査ログ ファイルのバックアップ コピーを自動的に作成して、ログをクリアする時間間隔(毎日、毎週、毎月)を定義できます。監査ログが自動的にバックアップされる時間間隔を設定するには、logmgr\BackUp_Date
Privileged Access Manager
レジストリ エントリで時間間隔を設定します。時間間隔には、以下のいずれかを指定できます。- 毎日1 日に 1 回、監査ログ ファイルをバックアップします。
- 毎週週に 1 回、監査ログ ファイルをバックアップします。
- 毎月月に 1 回、監査ログ ファイルをバックアップします。
バックアップ ファイルの名前を定義するには、logmgr\audit_back
Privileged Access Manager
レジストリ エントリを設定します。 監査ログが、バックアップ間隔より前に、logmgr\audit_size
Privileged Access Manager
レジストリ エントリで指定されたサイズの制限に達すると、製品はファイルのバックアップ コピーを作成しますが、タイムスタンプは付与されません。このような各バックアップ コピーによって、以前のコピーが上書きされる可能性があります。例: 監査ログ ファイルの日次バックアップを設定する
この例では、監査ログ ファイルの日次バックアップの設定方法について説明します。これを行うには、logmgr\BackUp_Date
Privileged Access Manager
レジストリを daily
に設定します。1 日に 1 回、
Privileged Access Manager
はファイルのバックアップ コピーを作成し、ログをクリアします。バックアップ ログ ファイル名には「.timestamp
」というサフィックスが付けられます。ここで、timestamp
は「DD-Mon-YYYY.hhmmss」という形式の日時です。以下に例を示します。seos.audit.bak.06-Feb-2007.144330