auditrouteflt.cfg ファイルによる監査レコード ルーティングのフィルタ
auditrouteflt.cfg ファイルでは、 が配布サーバに送信しないレコードを定義することによって、監査レコードのルーティングをフィルタリングできます。各行は、監査情報を除外するためのルールを表します。ファイルのパス名は ReportAgent セクションの audit_filter 構成設定で定義されます。
capamsc141
auditrouteflt.cfg ファイルでは、
Privileged Access Manager
が配布サーバに送信しないレコードを定義することによって、監査レコードのルーティングをフィルタリングできます。各行は、監査情報を除外するためのルールを表します。ファイルのパス名は ReportAgent セクションの audit_filter 構成設定で定義されます。 フィルタリングされた監査イベントはローカルの監査ファイルに書き込まれますが、
Privileged Access Manager
はそれを配布サーバのメッセージ キューに送信しません。ローカルの監査ファイルから監査メッセージを除外するには、logmgr セクションの AuditFiltersFile 構成設定で定義されているファイル(デフォルトでは audit.cfg)にあるフィルタ ルールを変更します。auditrouteflt.cfg ファイルを使用して、次の監査イベント タイプ、異なる構文別の各タイプのレコードを除去できます。
- リソース アクセス
- ネットワーク接続
- ログイン イベントおよびログアウト イベント
- セキュリティ データベース管理
- ユーザのトレース メッセージ
各タイプの構文の列に * がある場合には、「何らかの値」を意味します。
リソース アクセス イベントのフィルタ構文
リソース アクセス イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
- ClassNameアクセスされたオブジェクトが属するクラスの名前を定義します。クラスの名前は大文字で入力してください。
- ObjectNameアクセスされたオブジェクトの名前を定義します。
- UserNameアクセサの名前を定義します。
- ProgramPathオブジェクトへのアクセスに使用するプログラムの名前を定義します。
- アクセスオブジェクトへの要求されたアクセスを定義します。値は以下のとおりです。
- *アクセスのいずれかのタイプを表すワイルドカード。
- Chdirディレクトリの変更 - アクセサは、別のディレクトリにオブジェクトを移動するように要求しました。
- Chmodモードの変更 - アクセサがオブジェクトのモードを変更する要求を行った。
- Chgrp(UNIX)グループの変更 - アクセサは、オブジェクトが属するグループを変更するように要求しました。
- Chown所有者の変更 - アクセサは、オブジェクトの所有者を変更するように要求しました。
- Cre作成 - アクセサが新しいオブジェクトを作成する要求を行った。
- Del削除 - アクセサは、オブジェクトを削除するように要求しました。
- Joinグループへのユーザの追加 - アクセサは、新しいユーザをグループに追加するように要求しました。
- Kill強制終了 - アクセサは、プロセスを中止するように要求しました。
- R読み取り - アクセサは、オブジェクトへの読み取りアクセスを要求しました。(UNIX) STAT_intercept が 1 に設定されている場合、このパラメータにはstatインターセプトが含まれます。
- 名前の変更ファイル名の変更 - アクセサは、オブジェクトのファイル名を変更するように要求しました。
- SecACL の変更 - アクセサは、オブジェクトの ACL を編集するように要求しました。
- Utime(UNIX) 時刻の変更 - アクセサは、オブジェクトの変更日時を変更するように要求しました。
- W書き込み - アクセサは、オブジェクトへの書き込みアクセスを要求しました。
- X実行 - アクセサは、オブジェクトを実行するように要求しました。
一部のクラスでは有効ではない値もあります。たとえば、強制終了アクションは FILE クラスのオブジェクトには使用できないため、強制終了は FILE クラスでは無効な値です。ルールの作成時に無効な値をクラスに入力すると、Privileged Access Managerはファイルの読み取り時にそのルールを無視します。 - AuthorizationResult認証結果を定義します。値:P (許可されました)、D (拒否されました)、*
ネットワーク接続イベントのフィルタ構文
ネットワーク接続イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult
- HOSTHOST クラスのオブジェクト、すなわち TCP 受信接続によって生成されたレコードをルールがフィルタリングするように指定します。
- TCPTCP クラスのオブジェクト、すなわちサービス イベントとの接続によって生成されたレコードをルールがフィルタリングするように指定します。
- ObjectNameアクセスされたオブジェクトの名前を定義します。ObjectNameにはサービス名またはポート番号を指定できます。
- HostNameホストの名前を定義します。HostNameは、HOST クラスのオブジェクトである必要があります。
- ProgramPathログイン プログラムのタイプを定義します。(Windows)送信接続では、このパラメータは接続を確立しようとするプロセスのプログラム パスを定義します。このパラメータは、受信接続イベントでは何も意味がありません。受信接続イベントによって生成された監査レコードをフィルタリングするためには、このパラメータに * を使用してください。
- アクセス試行された接続のタイプを定義します。値は以下のとおりです。
- (HOST)*
- (TCP)R(受信接続)、W(送信接続)、*
- AuthorizationResult認証結果を定義します。値:P (許可されました)、D (拒否されました)、*
ログイン イベントおよびログアウト イベントのフィルタ構文
ログイン イベントまたはログアウト イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
LOGIN;UserName;UserId;TerminalName;LoginProgram;AuthorizationResultOrLoginType
- LOGINログイン イベントおよびログアウト イベントによって生成された監査レコードを、ルールによってフィルタリングするよう指定します。
- UserNameアクセサの名前を定義します。
- UserIdアクセサのネイティブ ユーザ ID を定義します。
- TerminalNameイベントが発生したターミナルを定義します。
- LoginProgramログインまたはログアウトを試みたプログラムの名前を定義します。
- AuthorizationResultorLoginType認証結果を定義します。値は以下のとおりです。
- *認証結果のいずれかのタイプを表すワイルドカード。
- Dログイン試行は拒否されました。
- Pログイン試行は許可されました。
- O(UNIX)アクセサはログアウトしました。
- I(UNIX) serevu デーモンは、アクセサのアカウントを無効にしました。
- E(UNIX) serevu デーモンは、アクセサのアカウントを有効にしました。
- A(UNIX)serevu デーモンまたは Pluggable Authentication Module は、不正なパスワードでログインしようとしたユーザを監査しました。
Windows では、ログアウト イベントは記録されません。
セキュリティ データベース管理イベントのフィルタ構文
セキュリティ データベース管理イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
ADMIN;ClassName;ObjectName;UserName;EffectiveUserName;TerminalName;Command;CommandResult
- ADMIN管理者が実行したイベントによって生成された監査レコードを、ルールがフィルタリングするように指定します。
- ClassName管理者が実行するコマンドのクラスを定義します。
- ObjectName管理者のコマンドが更新したオブジェクトを定義します。
- UserNameコマンドを実行したユーザの名前を定義します。
- EffectiveUserName(UNIX)ルールが適用される有効なユーザの名前を定義します。(Windows)ルールが適用されるネイティブ ユーザの名前を定義します。
- TerminalNameイベントが発生したターミナルを定義します。
- コマンド管理者が実行した selang コマンドを定義します。
- CommandResult認証結果またはコマンド結果を定義します。値:S(コマンド成功)、F(コマンド失敗)、D(コマンド拒否)、*
ユーザのトレース メッセージ イベントのフィルタ構文
ユーザのトレース メッセージ イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
TRACE;TracedClassName;TracedObjectName;RealUserName;EffectiveUserName;ACUserName;AuthorizationResult;TraceMessage
- TRACEユーザ トレース レコードをルールがフィルタリングするように指定します。
- TracedClassNameユーザがアクセスしようとしたオブジェクト クラスの名前を定義します。クラスの名前は大文字で入力してください。
- TracedObjectNameユーザがアクセスしようとしたオブジェクトの名前を定義します。
- RealUserName(UNIX)トレース レコードを生成した実ユーザの名前を定義します。(Windows)トレース レコードを生成したネイティブ ユーザの名前を定義します。
- EffectiveUserName(UNIX)トレース レコードを生成した、有効なユーザの名前を定義します。(Windows)トレース レコードを生成したネイティブ ユーザの名前を定義します。このパラメータは、RealUserName パラメータと同一です。このパラメータには * を使用してください。
- ACUserNameイベントの許可にPrivileged Access Managerが選択したユーザ名を定義します。
- AuthorizationResult認証結果を定義します。値:P (許可されました)、D (拒否されました)、*
- TraceMessage生成されたトレース メッセージを定義します。
例: ネットワーク接続イベントのフィルタ
- この例では、正常な受信 telnet 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。HOST;telnet;ca.com;*;*;P
- この例では、拒否された受信および送信ログイン TCP 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。TCP;login;ca.com;*;*;D
- この例では、送信 telnet 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。TCP;telnet;ca.com;*;W;*
例:ログインまたはログアウト イベントのフィルタ
- この例では、root が許可されたアカウントにログインする場合に生成されたすべての監査レコードをフィルタします。LOGIN;root;*;*;*;P
- この例では、システムの CRON プログラムによって root が正常にログインした場合に生成されたすべての監査レコードをフィルタします。LOGIN;root;*;*;SBIN_CRON;P
- この例では、_CRONJOB_ process が root ユーザをログアウトした場合に生成されたすべての監査レコードをフィルタします。LOGIN;root;*;_CRONJOB_;*;O
例:セキュリティ データベース管理イベントのフィルタ
この例では、admin01 による正常な FILE 管理コマンドによって生成されたすべての監査レコードをフィルタします。
ADMIN;FILE'*;admin01;*;*;*;S
例:ユーザのトレース メッセージ イベントのフィルタ
この例では、有効なユーザが root であり、root が FILE クラスのオブジェクトにアクセスした場合に生成されたすべてのユーザ トレース レコードをフィルタします。
TRACE;FILE;*;*;root;*;*;*
例: 監査フィルタ ポリシー
監査フィルタ ポリシーの例を以下に示します。
env config er config auditrouteflt.cfg line+("FILE;*;*;R;P")
このポリシーは次の行を auditrouteflt.cfg ファイルに書き込みます。
FILE;*;*;R;P
この行は、ファイル リソースへの読み取りアクセスのためにアクセサが行った許可された試行を記録した監査レコードをフィルタします。