audit.cfg ファイルのリソース アクセス イベント フィルタ構文
リソース アクセス イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
cminder12901jp
リソース アクセス イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
- ClassNameアクセスされたオブジェクトが属するクラスの名前を定義します。注:クラスの名前は大文字で入力してください。
- ObjectNameアクセスされたオブジェクトの名前を定義します。
- UserNameアクセサの名前を定義します。
- ProgramPathオブジェクトへのアクセスに使用するプログラムの名前を定義します。
- Accessオブジェクトへの要求されたアクセスを定義します。注:以下の値は、監査レコードをフィルタリングするために audit.cfg ファイルで使用する、このパラメータの値です。 audit.cfg ファイルのこのパラメータの値が、CA ControlMinder がそのイベントに対して監査レコードに書き込む値とは異なることがあります。 この場合、各値の説明の後にその差異が明記されます。 パラメータを入力する際には、以下のリストに表示されているものと同じスペルで(大文字と小文字を区別して)入力してください。値は以下のとおりです。
- *アクセスのいずれかのタイプを表すワイルドカード。
- Chdirディレクトリの変更 - アクセサは、オブジェクトを別のディレクトリに移動するように要求しました。
- Chmodモードの変更 - アクセサは、オブジェクトのモードを変更するように要求しました。
- Chgrp(UNIX)グループの変更 - アクセサは、オブジェクトが属するグループを変更するように要求しました。
- Chown所有者の変更 - アクセサは、オブジェクトの所有者を変更するように要求しました。接続グループへのユーザの追加 - アクセサは、新しいユーザをグループに追加するように要求しました。注:Connect の値と Join の値は同一です。Control(UNIX)コントロール - アクセサは、オブジェクトへの Chown、Chmod、Utime、Sec、Chdir、および Update アクセスを要求しました。
- Cre作成 - アクセサは、オブジェクトを作成するように要求しました。Crrdwr作成、読み取り、および書き込み - アクセサは、オブジェクトへの Create、Read、および Write アクセスを要求しました。注:CA ControlMinder は、対応する監査レコードに、この値を「CrRdWrite」として書き込みます。Crread作成および読み取り - アクセサは、オブジェクトへの Create および Read アクセスを要求しました。注:CA ControlMinder は、対応する監査レコードに、この値を「CrRead」として書き込みます。Crwrite作成および書き込み - アクセサは、オブジェクトへの Create および Write アクセスを要求しました。注:CA ControlMinder は、対応する監査レコードに、この値を「CrWrite」として書き込みます。
- Del削除 - アクセサは、オブジェクトを削除するように要求しました。注:CA ControlMinder は、対応する監査レコードに、この値を「Erase」として書き込みます。
- Joinグループへのユーザの追加 - アクセサは、新しいユーザをグループに追加するように要求しました。注:Connect の値と Join の値は同一です。
- Kill強制終了 - アクセサは、プロセスを強制終了するように要求しました。Modify変更 - アクセサは、オブジェクトへの Modify アクセスを要求しました。OwnGrp所有者の変更およびグループの変更 - アクセサは、オブジェクトへの Chown および Chgrp アクセスを要求しました。PWパスワード - アクセサは、パスワードを変更するように要求しました。注:CA ControlMinder は、対応する監査レコードに、この値を「Password」として書き込みます。
- R読み取り - アクセサは、オブジェクトへの読み取りアクセスを要求しました。注:(UNIX)STAT_intercept が 1 に設定されている場合、このパラメータにはstatinterception が含まれます。
- Renameファイル名の変更 - アクセサは、オブジェクトのファイル名を変更するように要求しました。
- Secオブジェクトの ACL の変更 - アクセサは、オブジェクトの ACL を編集するように要求しました。注:CA ControlMinder は、対応する監査レコードに、この値を「ACL」として書き込みます。Update読み取り、書き込み、および実行 - アクセサは、オブジェクトへの Read、Write、および Execute アクセスを要求しました。注:アクセサがオブジェクトへの Read および Write アクセスを要求した場合、イベントは Update 値でもフィルタリングされます。
- Utime(UNIX) 時刻の変更 - アクセサは、オブジェクトの変更時刻を変更するように要求しました。注:CA ControlMinder は、対応する監査レコードに、この値を「Utimes」として書き込みます。
- W書き込み - アクセサは、オブジェクトへの書き込みアクセスを要求しました。
- X実行 - アクセサは、オブジェクトを実行するように要求しました。
注:一部のクラスでは有効ではない値もあります。 たとえば、強制終了アクションは FILE クラスのオブジェクトには使用できないため、強制終了は FILE クラスでは無効な値です。 ルールの作成時に、クラスに対して無効な値を入力すると、CA ControlMinder はファイルの読み取り時にそのルールを無視します。 - AuthorizationResult認証結果を定義します。値は以下のとおりです。
P - 許可
D - 拒否
O - ログアウト
I - serevu による非アクティブ化(ユーザの無効化)
E - serevu によるユーザ ログインの有効化
A - パスワードの試行を検知
* - 任意の値を表すワイルドカード
例: 監査フィルタ ポリシー
- 監査フィルタ ポリシーの例を以下に示します。env config er config audit.cfg line+("FIEL;*;*;*;R;P")
- このポリシーは、以下の行を audit.cfg ファイルに書き込みます。 この行は、ファイル リソースへの読み取りアクセスのためにアクセサが行った許可された試行を記録した監査レコードをフィルタします。FILE;*;*;*;R;P