セキュリティ データベース管理イベント
セキュリティ データベース管理イベントは、適切な権限を持つ 管理者またはサブ管理者が実行し、製品によってインターセプトされたアクションを示します。
capamsc141
セキュリティ データベース管理イベントは、適切な権限を持つ
Privileged Access Manager
管理者またはサブ管理者が実行し、製品によってインターセプトされたアクションを示します。このイベントの監査レコードは、以下の形式になります。
Date Time Status Event Class Admin Details Reason Object TerminalCommand AuditFlags
- Dateイベントが発生した日付を識別します。形式:DD MMM YYYYPrivileged Access Managerエンドポイント管理では、ユーザのコンピュータの設定に従って日付表示をフォーマットします。
- 時間イベントが発生した時間を識別します。形式:HH:MM:SSPrivileged Access Managerエンドポイント管理では、ユーザのコンピュータの設定に従って時刻表示をフォーマットします。
- ステータスイベントのリターン コードを示します。値:以下のいずれかです。
- D (拒否) - 権限が不十分であるためイベントが拒否されました。
- S (成功) - イベントが許可されました。
- F (失敗) - イベントが失敗しました。
- イベント タイプこのレコードが属するイベントのタイプを識別します。Privileged Access Managerエンドポイント管理では、このフィールドは単に「イベント」として参照されます。
- Class管理対象のリソースが属するクラスを特定します。
- 管理者selang コマンドを実行した管理者ユーザの名前を特定します。
- 詳細Privileged Access Managerがこのイベントに対して実行するアクションを決定したステージを示します。seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は承認 stage code といいます。詳細な出力またはPrivileged Access Managerエンドポイント管理では、監査レコードに承認 stage code に関連するメッセージが表示されます。すべての stage code を一覧表示するには、seaudit -t を実行します。
- 理由Privileged Access Managerが監査レコードを書き込んだ理由を示します。このフィールドは、seaudit の詳細な出力またはPrivileged Access Managerエンドポイント管理には表示されません。seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。この数字は理由コードといいます。すべての理由コードを一覧表示するには、seaudit -t を実行します。
- オブジェクト管理されているリソースの名前を示します。
- 端末アクセス元がホストに接続するのに使用した端末名を識別します。コマンドが親ポリシー モデルから引き継がれている場合、このフィールドには PMD の完全修飾名が表示されます。
- コマンドユーザが実行した selang コマンドが表示されます。
- 監査フラグアクセス元が内部ユーザ(Privileged Access Managerデータベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」 の文字列が表示されます。エンタープライズ ユーザではない場合、このフィールドは空白です。
- コマンド タイプこのイベントに記述されるデータベース管理コマンドのタイプを識別します。値は以下のいずれかです。
- ユーザの追加 :newusr コマンド用
- グループの追加:newgrp コマンド用
- リソースの追加- newres または newfile コマンド用
- ユーザの変更- chusr コマンド用
- グループの変更- chgrp コマンド用
- グループ メンバシップの変更- join コマンド用
- リソースの変更:chres コマンド用
- リソース アクセスの変更- authorize コマンド用
- ユーザの削除:rmusr コマンド用
- グループの削除- rmgrp コマンド用
- リソースの削除- rmres または rmfile コマンド用
- オプションの設定:setoptions コマンド用
- ユーザの追加/変更- editusr コマンド用
- グループの追加/変更:editgrp コマンド用
- リソースの追加/変更:editres または editfile コマンド用
- 管理コマンド:そのほかのコマンド用
例: セキュリティデータベース管理イベントのメッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
05 Nov 2008 15:45:12 S UPDATE FILE DOMAIN_NAME\computer 305 0 dfdok computer.com cr file dfdok defacc(r) Event type: Security database administration Command type: Modify resource Status: Successful Administrator: DOMAIN_NAME\computer Class: FILE Object: dfdok Terminal: computer.com Date: 05 Nov 2008 Time: 15:45 Details: Command successful for ADMIN user. Command: cr file dfdok defacc(r) Audit flags: AC database user
この監査レコードは、2008 年 11 月 5 日、端末 computer.com からログインして、保護されたホスト上でコマンド cr file dfdok defacc(r) を実行してファイルを更新しようとした管理者からのアクセスを、
Privileged Access Manager
が拒否したことを示します(許可ステージ コード 305 - コマンドが管理者ユーザに許可されました)。