ユーザのトレース メッセージ
ユーザ イベントのトレース メッセージは、保護されたリソースを開く、実行する、または使用する試行を示します。
cminder12901jp
ユーザ イベントのトレース メッセージは、保護されたリソースを開く、実行する、または使用する試行を示します。
Windows の場合、このイベントの監査レコードは、以下の形式になります。
Date Time Status Event UserNameSessionID RealUID RealUsername Class Resource DetailsAuditFlags Trace
UNIX の場合、このイベントの監査レコードは、以下の形式になります。
Date Time Status Event UserNameSessionID EffectiveUsername RealUsername Class Resource DetailsAuditFlags Trace
- 日付イベントが発生した日付を識別します。形式:DD MMM YYYY注:Privileged Identity Managerエンドポイント コンソールでは、コンピュータの設定に従って日付表示が書式設定されます。
- 時間イベントが発生した時間を識別します。形式:HH:MM:SS注:Privileged Identity Managerエンドポイント コンソールでは、コンピュータの設定に従って時間表示が書式設定されます。
- Statusイベントのリターン コードを示します。値:以下のいずれかです。
- D (拒否) - 権限が不十分であるためイベントが拒否されました。
- P (許可) - イベントが許可されました。
- W (警告) - アクセス要求はアクセス ルールに違反していますが、警告モードが設定されているためイベントが許可されました。
注:seaudit の詳細な出力ではこのフィールドはトレース情報を示します。 - イベント タイプこのレコードが属するイベントのタイプを識別します。注:Privileged Identity Managerエンドポイント コンソールでは、このフィールドは単に「イベント」として参照されます。
- ユーザ名このイベントをトリガしたアクションを実行したアクセサの名前を識別します。
- ユーザ ログオン セッション IDアクセサのセッション ID を識別します。
- Real User IDプロセスを実行したユーザのユーザ ID を識別します。注:(UNIX)このフィールドは seaudit の詳細でない出力には表示されません。
- Real user nameトレースされたアクションを実行しているユーザ名を識別します。
- Effective user ID(UNIX のみ)ネイティブな OS の有効なユーザ ID の ID を識別します。注:このフィールドは seaudit の詳細でない出力には表示されません。
- Effective User Nameこのイベントをトリガしたネイティブ OS の実際のユーザ名を識別します。 ユーザが別のユーザを代行する(代理になる)または setuid プログラムを実行する場合、この名前はユーザ名とは異なります。
- Classアクセスされているリソースが属するクラスを識別します。
- Resourceアクセスまたは更新されている実際のリソースの名前を識別します。
- 詳細Privileged Identity Managerがこのイベントに対して実行するアクションを決定したステージを示します。注:seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は承認 stage code といいます。 詳細な出力またはPrivileged Identity Managerエンドポイント コンソールでは、監査レコードに承認 stage code に関連するメッセージが表示されます。 すべての stage code を一覧表示するには、seaudit -t を実行します。
- Trace informationクラス、リソース、およびそのリソースで実行されたアクションまたはそのアクションの結果を含む、詳細なトレース情報を表示します。
- 監査フラグアクセス元が内部ユーザ(Privileged Identity Managerデータベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。注:アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」 の文字列が表示されます。 エンタープライズ ユーザではない場合、このフィールドは空白です。
例: UNIX 上のユーザ イベント メッセージのトレース メッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
03 Nov 2008 10:38:47 P TRACE root 490daddd:00000140 john root FILE /home/jon/file.txt 55 FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Event type: Trace message on a user Date: 03 Nov 2008 Time: 10:38 Details: Resource ACL check Trace information: FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Class: FILE Resource: /home/admin/file.txt User name: root Real user ID: 108 Real user name: john Effective user ID: 108 Effective user name: root User Logon Session ID: 490daddd:00000140 Audit flags: AC database user
この監査レコードは、2008 年 11 月 3 日に管理者が FILE クラスに属するリソースにアクセスしようとしたことにより、トレース メッセージがログに記録されたことを示します。 アクセスしたリソースの ACL に従って(許可ステージ コード 55 - リソースの ACL チェック)、この管理者にアクセスが許可されています。
例: Windows 上のユーザ イベント メッセージのトレース メッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
10 Nov 2008 10:14:53 P TRACE MACHINE\Administrator 00000000:172ef9ef MACHINE\john MACHINE\john WINSERVICE _default 1059 WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? Default record universal access check Event type: Trace message on a user Date: 10 Nov 2008 Time: 10:14 Details: Default record universal access check Trace information: WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? Default record universal access check Class: WINSERVICE Resource: _default User name: MACHINE\Administrator Real user name: MACHINE\john User Logon Session ID: 00000000:172ef9ef Audit flags:AC database user
この監査レコードは、2008 年 11 月 10 日に管理者が WINSERVICE クラスに属するリソース _default にアクセスしようとしたことにより、トレース メッセージがトリガされたことを示します。 レコード ユニバーサル アクセス チェックによって(許可ステージ コード 1059 - デフォルト レコード ユニバーサル アクセス チェック)、この管理者にアクセスが許可されています。