audit.cfg ファイルのリソース アクセス イベント フィルタ構文
リソース アクセス イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
capamsc141
リソース アクセス イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
- ClassNameアクセスされたオブジェクトが属するクラスの名前を定義します。クラスの名前は大文字で入力してください。
- ObjectNameアクセスされたオブジェクトの名前を定義します。
- UserNameアクセサの名前を定義します。
- ProgramPathオブジェクトへのアクセスに使用するプログラムの名前を定義します。
- アクセスオブジェクトへの要求されたアクセスを定義します。以下の値は、監査レコードをフィルタリングするために audit.cfg ファイルで使用する、このパラメータの値です。audit.cfg ファイルのこのパラメータの値は、Privileged Access Managerがそのイベントに対して監査レコードに書き込む値とは異なる場合があります。この場合、各値の説明の後にその差異が明記されます。パラメータを入力する際には、以下のリストに表示されているものと同じスペルで(大文字と小文字を区別して)入力してください。値は以下のとおりです。
- *アクセスのいずれかのタイプを表すワイルドカード。
- Chdirディレクトリの変更 - アクセサは、別のディレクトリにオブジェクトを移動するように要求しました。
- Chmodモードの変更 - アクセサは、オブジェクトのモードを変更するように要求しました。
- Chgrp(UNIX)グループの変更 - アクセサは、オブジェクトが属するグループを変更するように要求しました。
- Chown所有者の変更 - アクセサは、オブジェクトの所有者を変更するように要求しました。接続グループへのユーザの追加 - アクセサは、新しいユーザをグループに追加するように要求しました。注:Connect の値と Join の値は同一です。Control(UNIX)コントロール - アクセサは、オブジェクトへの Chown、Chmod、Utime、Sec、Chdir、および Update アクセスを要求しました。
- Cre作成 - アクセサは、オブジェクトを作成するように要求しました。CrrdwrCrreadCreate および Read - アクセサはオブジェクトに Create および Read アクセスを要求しました。注:Privileged Access Managerはこの値を対応する監査レコードに CrRead として書き込みます。CrwriteCreate および Write - アクセサはオブジェクトに Create および Write アクセスを要求しました。注:Privileged Access Managerは、対応する監査レコードにこの値を CrWrite として書き込みます。
- Del削除 - アクセサは、オブジェクトを削除するように要求しました。Privileged Access Managerは、対応する監査レコードにこの値を Erase として書き込みます。
- Joinグループへのユーザの追加 - アクセサは、新しいユーザをグループに追加するように要求しました。Connect の値と Join の値は同一です。
- Kill強制終了 - アクセサは、プロセスを中止するように要求しました。Modify変更 - アクセサはオブジェクトに Modify アクセスを要求しました。OwnGrpChange owner および Change group - アクセサはオブジェクトに Chown および Chgrp アクセスを要求しました。PW
- R読み取り - アクセサは、オブジェクトへの読み取りアクセスを要求しました。(UNIX) STAT_intercept が 1 に設定されている場合、このパラメータにはstatインターセプトが含まれます。
- 名前の変更ファイル名の変更 - アクセサは、オブジェクトのファイル名を変更するように要求しました。
- Secオブジェクトの ACL の変更 - アクセサは、オブジェクトの ACL を編集するように要求しました。Privileged Access Managerは、対応する監査レコードにこの値を ACL として書き込みます。UpdateRead、Write、および Execute - アクセサはオブジェクトに Read、Write、および Execute アクセスを要求しました。注: アクセサがオブジェクトに Read および Write アクセスを要求した場合、Update 値はイベントもフィルタリングします。
- Utime(UNIX) 時刻の変更 - アクセサは、オブジェクトの変更日時を変更するように要求しました。Privileged Access Managerは、対応する監査レコードにこの値を Utimes として書き込みます。
- W書き込み - アクセサは、オブジェクトへの書き込みアクセスを要求しました。
- X実行 - アクセサは、オブジェクトを実行するように要求しました。
一部のクラスでは有効ではない値もあります。たとえば、強制終了アクションは FILE クラスのオブジェクトには使用できないため、強制終了は FILE クラスでは無効な値です。ルールの作成時に無効な値をクラスに入力すると、Privileged Access Managerはファイルの読み取り時にそのルールを無視します。 - AuthorizationResult認証結果を定義します。値は以下のとおりです。
P - 許可
D - 拒否
O - ログアウト
I - serevu による非アクティブ化(ユーザの無効化)
E - serevu によるユーザ ログインの有効化
A - パスワードの試行を検知
* - 任意の値を表すワイルドカード
例: 監査フィルタ ポリシー
- 監査フィルタ ポリシーの例を以下に示します。env config er config audit.cfg line+("FIEL;*;*;*;R;P")
- このポリシーは、以下の行を audit.cfg ファイルに書き込みます。この行は、ファイル リソースへの読み取りアクセスのためにアクセサが行った許可された試行を記録した監査レコードをフィルタします。FILE;*;*;*;R;P