audit.cfg ファイルのネットワーク接続イベント フィルタ構文

ネットワーク接続イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
capamsc141
ネットワーク接続イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult
  • HOST
    HOST クラスのオブジェクト、すなわち TCP 受信接続によって生成されたレコードをルールがフィルタリングするように指定します。
  • TCP
    TCP クラスのオブジェクト、すなわちサービス イベントとの接続によって生成されたレコードをルールがフィルタリングするように指定します。
  • ObjectName
    アクセスされたオブジェクトの名前を定義します。
    ObjectName
    にはサービス名またはポート番号を指定できます。
  • HostName
    ホストの名前を定義します。
    HostName
    は、HOST クラスのオブジェクトである必要があります。
  • ProgramPath
    ログイン プログラムのタイプを定義します。
    (Windows)送信接続では、このパラメータは接続を確立しようとするプロセスのプログラム パスを定義します。
    このパラメータは、受信接続イベントでは何も意味がありません。受信接続イベントによって生成された監査レコードをフィルタリングするためには、このパラメータに * を使用してください。
  • アクセス
    試行された接続のタイプを定義します。
    値は以下のとおりです。
    • (HOST)*
    • (TCP)R(受信接続)、W(送信接続)、*
  • AuthorizationResult
    認証結果を定義します。
    値:
    P (許可されました)、D (拒否されました)、*
例: ネットワーク接続イベントのフィルタ
  • この例では、正常な受信 telnet 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。
    HOST;telnet;ca.com;*;*;P
  • この例では、拒否された受信および送信ログイン TCP 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。
    TCP;login;ca.com;*;*;D
  • この例では、送信 telnet 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。
    TCP;telnet;ca.com;*;W;*