kblaudit.cfg - キー ロガー監査レコードのフィルタ
UNIX で該当
capamsc141
UNIX で該当
kblaudit.cfg
ファイルは、キー ロガー(KBL)監査レコードをフィルタします。このファイルは、[INCLUDE] および [EXCLUDE] セクションで設定されたフィルタ ルールに基づいて、KBL 監査レコードをフィルタします。このファイルは
/opt/CA/PAMSC/etc
にあります。- [INCLUDE][INCLUDE] セクションの形式は、以下のとおりです。[INCLUDE]LOGIN;<UserName>;<UserId>;<TerminalName>;<LoginProgram>;<AuthorizationResult>TRACE;<TracedClassName>;<TracedObjectName>;<RealUserName>;<ACUserName>;<AuthorizationResult>;<TraceMessageMask>;<KBLSessionID>;<InputCommandName>フィルタ ルールを [INCLUDE] セクションに追加すると、kblaudit.cfgファイルはそのルールに一致する監査レコードをログに記録します。[INCLUDE] セクションでルールを定義しないと、kblaudit.cfgファイルはすべての監査レコードをログに記録します。[INCLUDE] セクションに、LOGIN ルールを必ず含めます。LOGIN レコードがないと、seauditユーティリティはセッション ID の表示に失敗します。セッション ID がないと、kblaudit.cfgファイルは KBL 監査レコードのログ記録に失敗します。
- [EXCLUDE][EXCLUDE] セクションの形式は、以下のとおりです。[EXCLUDE]TRACE;<TracedClassName>;<TracedObjectName>;<RealUserName>;<ACUserName>;<AuthorizationResult>;<TraceMessageMask>;<KBLSessionID>;<InputCommandName>フィルタ ルールを [EXCLUDE] セクションに追加すると、kblaudit.cfgファイルはこのルールに一致しない監査レコードをログに記録します。[EXCLUDE] セクションでルールを定義しないと、kblaudit.cfgファイルはすべての監査レコードをログに記録します。
例:
kblaudit.cfg ファイルの以下のスニペットは、
test-user
が実行する usermod
操作イベントを kbl.audit ファイルから除外します。[EXCLUDE]TRACE;*;*;test-user;*;test-user;*;*;*usermod*
kblaudit.cfg ファイルの以下のスニペットは、
test-user
が実行する cat
操作イベントを kbl.audit ファイルに含めます。[INCLUDE] LOGIN;*;*;*;*;* TRACE;*;*;test-user;*;test-user;*;*;*cat*
ルール構文の A * は任意の値を表します。