kblaudit.cfg - キー ロガー監査レコードのフィルタ

UNIX で該当
capamsc141
UNIX で該当
kblaudit.cfg
ファイルは、キー ロガー(KBL)監査レコードをフィルタします。このファイルは、[INCLUDE] および [EXCLUDE] セクションで設定されたフィルタ ルールに基づいて、KBL 監査レコードをフィルタします。
このファイルは
/opt/CA/PAMSC/etc
にあります。
  • [INCLUDE]
    [INCLUDE] セクションの形式は、以下のとおりです。
    [INCLUDE]
    LOGIN;<UserName>;<UserId>;<TerminalName>;<LoginProgram>;<AuthorizationResult>
    TRACE;<TracedClassName>;<TracedObjectName>;<RealUserName>;<ACUserName>;<AuthorizationResult>;<TraceMessageMask>;<KBLSessionID>;<InputCommandName>
    フィルタ ルールを [INCLUDE] セクションに追加すると、
    kblaudit.cfg
    ファイルはそのルールに一致する監査レコードをログに記録します。[INCLUDE] セクションでルールを定義しないと、
    kblaudit.cfg
    ファイルはすべての監査レコードをログに記録します。
    [INCLUDE] セクションに、LOGIN ルールを必ず含めます。LOGIN レコードがないと、
    seaudit
    ユーティリティはセッション ID の表示に失敗します。セッション ID がないと、
    kblaudit.cfg
    ファイルは KBL 監査レコードのログ記録に失敗します。  
  • [EXCLUDE]
    [EXCLUDE] セクションの形式は、以下のとおりです。
    [EXCLUDE]
    TRACE;<TracedClassName>;<TracedObjectName>;<RealUserName>;<ACUserName>;<AuthorizationResult>;<TraceMessageMask>;<KBLSessionID>;<InputCommandName>
    フィルタ ルールを [EXCLUDE] セクションに追加すると、
    kblaudit.cfg
    ファイルはこのルールに一致しない監査レコードをログに記録します。[EXCLUDE] セクションでルールを定義しないと、
    kblaudit.cfg
    ファイルはすべての監査レコードをログに記録します。
例:
kblaudit.cfg ファイルの以下のスニペットは、
test-user
が実行する
usermod
操作イベントを kbl.audit ファイルから除外します。
[EXCLUDE]
TRACE;*;*;test-user;*;test-user;*;*;*usermod*
kblaudit.cfg ファイルの以下のスニペットは、
test-user
が実行する
cat
操作イベントを kbl.audit ファイルに含めます。
[INCLUDE] LOGIN;*;*;*;*;* TRACE;*;*;test-user;*;test-user;*;*;*cat*
ルール構文の A * は任意の値を表します。