リソース アクセス イベント
リソース アクセス イベントは FILE、TERMINAL、PROGRAM などのリソースへのアクセス試行を示しています。このイベントの監査レコードのデータは、アクセス元が TERMINAL リソースへのアクセスを試行するときに、LOGIN イベントなどのほかのレコードにも表示させることができます。この場合のイベント レコードは LOGIN タイプですが、レコードに表示される監査レコードのデータは、リソース アクセス イベント メッセージのうちのいずれかです。
capamsc141
リソース アクセス イベントは FILE、TERMINAL、PROGRAM などのリソースへのアクセス試行を示しています。このイベントの監査レコードのデータは、アクセス元が TERMINAL リソースへのアクセスを試行するときに、LOGIN イベントなどのほかのレコードにも表示させることができます。この場合のイベント レコードは LOGIN タイプですが、レコードに表示される監査レコードのデータは、リソース アクセス イベント メッセージのうちのいずれかです。
このイベントの監査レコードは、以下の形式になります。
Date Time Status Class UserName SessionID Access Details Reason Resource Program Terminal EffectiveUserName AuditFlags
UNIX または Linux の場合は、
AuditFlags
パラメータが EffectiveUserName
パラメータの前になります。- Dateイベントが発生した日付を識別します。形式:DD MMM YYYYPrivileged Access Managerエンドポイント管理では、ユーザのコンピュータの設定に従って日付表示をフォーマットします。
- 時間イベントが発生した時間を識別します。形式:HH:MM:SSPrivileged Access Managerエンドポイント管理では、ユーザのコンピュータの設定に従って時刻表示をフォーマットします。
- ステータスイベントのリターン コードを示します。値:以下のいずれかです。
- D (拒否) - 権限が不十分であるためイベントが拒否されました。
- P (許可) - イベントが許可されました。
- W (警告) - アクセス要求はアクセス ルールに違反していますが、警告モードが設定されているためイベントが許可されました。
- N (通知) - イベントが許可され、許可されたリソースへのアクセス試行が発生したことを通知します。
- F (失敗) - イベントは許可されましたが、オペレーティング システム コマンドは失敗しました。
- Classアクセスされているリソースが属するクラスを識別します。
- ユーザ名このイベントをトリガしたアクションを実行したアクセサの名前を識別します。
- ユーザ ログオン セッション IDアクセサのセッション ID を識別します。デフォルトでは、このフィールドは seaudit の詳細でない出力には表示されません。seaudit の詳細でない出力でこのフィールドを表示するには、seaudit コマンドに -sessionid オプションを指定します。
- アクセスこのイベントをトリガしたアクセス試行のタイプを識別します。例:読み取りアクセスの値は、インターセプトされたリソースが属するクラスによって異なります。各クラスに対するアクセス権限の詳細については、「selang リファレンス ガイド」を参照してください。
- 詳細Privileged Access Managerがこのイベントに対して実行するアクションを決定したステージを示します。seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は承認 stage code といいます。詳細な出力またはPrivileged Access Managerエンドポイント管理では、監査レコードに承認 stage code に関連するメッセージが表示されます。すべての stage code を一覧表示するには、seaudit -t を実行します。
- 理由Privileged Access Managerが監査レコードを書き込んだ理由を示します。このフィールドは、seaudit の詳細な出力またはPrivileged Access Managerエンドポイント管理には表示されません。seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は理由コードといいます。すべての理由コードを一覧表示するには、seaudit -t を実行します。
- Resourceアクセスまたは更新されている実際のリソースの名前を識別します。
- プログラムイベントをトリガしたプログラム名を識別します。これは、アクセス元がリソースへのアクセス試行に使用するプログラムです
- 端末アクセス元がホストに接続するのに使用した端末名を識別します。(UNIX および Windows)
- Effective User Nameこのイベントをトリガしたネイティブ OS の実際のユーザ名を識別します。ユーザが別のユーザを代行する(代理になる)または setuid プログラムを実行する場合、この名前はユーザ名とは異なります。
- 監査フラグアクセス元が内部ユーザ(Privileged Access Managerデータベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」 の文字列が表示されます。エンタープライズ ユーザではない場合、このフィールドは空白です。
例: リソース アクセス イベント メッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
18 Nov 2008 15:23:56 D FILE admabc 4922ae61:00000132 Read 69 3 /tmp/one /usr/local/bin/tcsh localhost admabc Event type: Resource access Status: Denied Class: FILE Resource: /tmp/one Access: Read User name: admabc Terminal: localhost Program: /usr/local/bin/tcsh Date: 18 Nov 2008 Time: 15:23 Details: No Step that allowed access User Logon Session ID: 4922ae61:00000132 Audit flags: AC database user Effective user name: admabc
この監査レコードは 2008 年 11 月 18 日 15:23:56 に、ユーザ admabc がローカル コンピュータから UNIX tcsh シェル プログラムを使用して、保護された /tmp/one ファイル リソースを読み取ろうとしたことを示します。このタイプのアクセスを許可するルールがデータベースに存在しないため、
Privileged Access Manager
は操作を拒否しました(許可ステージ コード 69 - アクセスを許可したステップがありません)。リソースの監査モードでこのイベントはログに記録する必要があると指定しているため、Privileged Access Manager
はこのイベントをログに記録しました(理由コード 3 - リソース監査モードはログへの記録を要求しました)。