ログイン イベント

ログイン イベントは または で保護されるホストへのログイン試行を示しています。
capamsc141
ログイン イベントは
Privileged Access Manager
または
Privileged Access Manager
で保護されるホストへのログイン試行を示しています。
このイベントの監査レコードは、以下の形式になります。
Date Time Status Event UserName SessionID Details Reason Terminal Program AuditFlags
  • Date
    イベントが発生した日付を識別します。
    形式:
    DD MMM YYYY
    Privileged Access Manager
    エンドポイント管理では、ユーザのコンピュータの設定に従って日付表示をフォーマットします。
  • 時間
    イベントが発生した時間を識別します。
    形式:
    HH:MM:SS
    Privileged Access Manager
    エンドポイント管理では、ユーザのコンピュータの設定に従って時刻表示をフォーマットします。
  • ステータス
    イベントのリターン コードを示します。
    値:
    以下のいずれかです。
    • D (拒否) - 権限が不十分であるためイベントが拒否されました。
    • P (許可) - イベントが許可されました。
    • W (警告) - アクセス要求はアクセス ルールに違反していますが、警告モードが設定されているためイベントが許可されました。
  • イベント
    このレコードが属するイベントのタイプを識別します。
    Privileged Access Manager
    エンドポイント管理では、このフィールドは単に「
    イベント
    」として参照されます。
  • UserName
    このイベントをトリガしたアクションを実行したアクセサの名前を識別します。
  • SessionID
    アクセサのセッション ID を識別します。
    デフォルトでは、このフィールドは seaudit の詳細でない出力には表示されません。seaudit の詳細でない出力でこのフィールドを表示するには、seaudit コマンドに -sessionid オプションを指定します。
  • 詳細
    Privileged Access Manager
    がこのイベントに対して実行するアクションを決定したステージを示します。
    seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は承認 stage code といいます。詳細な出力または
    Privileged Access Manager
    エンドポイント管理では、監査レコードに承認 stage code に関連するメッセージが表示されます。すべての stage code を一覧表示するには、seaudit -t を実行します。
  • 理由
    Privileged Access Manager
    が監査レコードを書き込んだ理由を示します。
    このフィールドは、seaudit の詳細な出力または
    Privileged Access Manager
    エンドポイント管理には表示されません。seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は理由コードといいます。すべての理由コードを一覧表示するには、seaudit -t を実行します。
  • 端末
    アクセス元がホストに接続するのに使用した端末名を識別します。
  • Program
    イベントをトリガしたプログラム名を識別します。これは、ログイン試行にアクセサが使用したプログラムです。
    Privileged Access Manager
    の管理ログインでは、ログインしたモジュールを指します(selang、Web サービスなど)。
  • AuditFlags
    アクセス元が内部ユーザ(
    Privileged Access Manager
    データベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。
    アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」 の文字列が表示されます。エンタープライズ ユーザではない場合、このフィールドは空白です。
例:ログイン イベント メッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
28 Oct 2008 12:15:01 P LOGIN root 49047159:0000034b 59 2 _CRONJOB_ SBIN_CRON Event: Login event Status: Permitted UserName: root Terminal: _CRONJOB_ Program: SBIN_CRON Date: 28 Oct 2008 Time: 12:15 Details: Resource UACC check SessionID: 49047159:0000034b AuditFlags: AC database user
この監査レコードは、2008 年 10 月 28 日、12 時 15 分 01 秒に、保護されたホストに root ユーザが _CRONJOB_ 端末からログインし、SBIN_CRON プログラムを実行したことを示しています。リソースのデフォルトのアクセス許可で、このアクションが許可されているため、
Privileged Access Manager
は操作を許可しました(承認 stage code 59 - リソース UACC のチェック)。アクセサの監査モードでこのイベントをログに記録することが指定されているため、製品はこのイベントをログに記録しました(reason code 2 - ユーザ監査モードは、ログ記録を必要とします)。