セキュリティ データベース管理イベント

セキュリティ データベース管理イベントは、適切な権限を持つ 管理者またはサブ管理者が実行し、 がインターセプトしたアクションを示します。
cminder12901jp
セキュリティ データベース管理イベントは、適切な権限を持つ
Privileged Identity Manager
管理者またはサブ管理者が実行し、
Privileged Identity Manager
がインターセプトしたアクションを示します。
このイベントの監査レコードは、以下の形式になります。
Date Time Status Event Class Admin Details Reason Object TerminalCommand AuditFlags
  • 日付
    イベントが発生した日付を識別します。
    形式:
    DD MMM YYYY
    注:
    Privileged Identity Manager
    エンドポイント コンソールでは、コンピュータの設定に従って日付表示が書式設定されます。
  • 時間
    イベントが発生した時間を識別します。
    形式:
    HH:MM:SS
    注:
    Privileged Identity Manager
    エンドポイント コンソールでは、コンピュータの設定に従って時間表示が書式設定されます。
  • Status
    イベントのリターン コードを示します。
    値:
    以下のいずれかです。
    • D (拒否) - 権限が不十分であるためイベントが拒否されました。
    • S (成功) - イベントが許可されました。
    • F (失敗) - イベントが失敗しました。
  • イベント タイプ
    このレコードが属するイベントのタイプを識別します。
    注:
    Privileged Identity Manager
    エンドポイント コンソールでは、このフィールドは単に「
    イベント
    」として参照されます。
  • Class
    管理対象のリソースが属するクラスを特定します。
  • 管理者
    selang コマンドを実行した管理者ユーザの名前を特定します。
  • 詳細
    Privileged Identity Manager
    がこのイベントに対して実行するアクションを決定したステージを示します。
    注:
    seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は承認 stage code といいます。 詳細な出力または
    Privileged Identity Manager
    エンドポイント コンソールでは、監査レコードに承認 stage code に関連するメッセージが表示されます。 すべての stage code を一覧表示するには、seaudit -t を実行します。
  • 理由
    Privileged Identity Manager
    が監査レコードを書き込んだ理由を示します。
    注:
    このフィールドは seaudit の詳細な出力または
    Privileged Identity Manager
    エンドポイント コンソールには表示されません。 seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は理由コードといいます。 すべての理由コードを一覧表示するには、seaudit -t を実行します。
  • オブジェクト
    管理されているリソースの名前を示します。
  • 端末
    アクセス元がホストに接続するのに使用した端末名を識別します。
    注:
    コマンドが親ポリシー モデルから引き継がれている場合、このフィールドには PMD の完全修飾名が表示されます。
  • Command
    ユーザが実行した selang コマンドが表示されます。
  • 監査フラグ
    アクセス元が内部ユーザ(
    Privileged Identity Manager
    データベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。
    注:
    アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」 の文字列が表示されます。 エンタープライズ ユーザではない場合、このフィールドは空白です。
  • コマンド タイプ
    このイベントに記述されるデータベース管理コマンドのタイプを識別します。
    値は以下のいずれかです。
    • ユーザの追加
      - newusr コマンド用
    • グループの追加
      - newgrp コマンド用
    • リソースの追加
      - newres または newfile コマンド用
    • ユーザの変更
      - chusr コマンド用
    • グループの変更
      - chgrp コマンド用
    • グループ メンバシップの変更
      - join コマンド用
    • リソースの変更
      - chres コマンド用
    • リソース アクセスの変更
      - authorize コマンド用
    • ユーザの削除
      - rmusr コマンド用
    • グループの削除
      - rmgrp コマンド用
    • リソースの削除
      - rmres または rmfile コマンド用
    • オプションの設定
      - setoptions コマンド用
    • ユーザの追加/変更
      - editusr コマンド用
    • グループの追加/変更
      - editgrp コマンド用
    • リソースの追加/変更
      - editres または editfile コマンド用
    • 管理コマンド
      - そのほかのコマンド用
例: セキュリティデータベース管理イベントのメッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
05 Nov 2008 15:45:12 S UPDATE FILE DOMAIN_NAME\computer 305 0 dfdok computer.com cr file dfdok defacc(r) Event type: Security database administration Command type: Modify resource Status: Successful Administrator: DOMAIN_NAME\computer Class: FILE Object: dfdok Terminal: computer.com Date: 05 Nov 2008 Time: 15:45 Details: Command successful for ADMIN user. Command: cr file dfdok defacc(r) Audit flags: AC database user
この監査レコードは、2008 年 11 月 5 日、端末 computer.com からログインして、保護されたホスト上でコマンド cr file dfdok defacc(r) を実行してファイルを更新しようとした管理者からのアクセスを、
Privileged Identity Manager
が拒否したことを示します(許可ステージ コード 305 - コマンドが管理者ユーザに許可されました)。