audit.cfg ファイルのリソース アクセス イベント フィルタ構文

リソース アクセス イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
cminder12902jp
リソース アクセス イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
  • ClassName
    アクセスされたオブジェクトが属するクラスの名前を定義します。
    注:
    クラスの名前は大文字で入力してください。
  • ObjectName
    アクセスされたオブジェクトの名前を定義します。
  • UserName
    アクセサの名前を定義します。
  • ProgramPath
    オブジェクトへのアクセスに使用するプログラムの名前を定義します。
  • Access
    オブジェクトへの要求されたアクセスを定義します。
    注:
    以下の値は、監査レコードをフィルタリングするために audit.cfg ファイルで使用する、このパラメータの値です。 audit.cfg ファイルのこのパラメータの値が、CA ControlMinder がそのイベントに対して監査レコードに書き込む値とは異なることがあります。 この場合、各値の説明の後にその差異が明記されます。 パラメータを入力する際には、以下のリストに表示されているものと同じスペルで(大文字と小文字を区別して)入力してください。
    値は以下のとおりです。
    • *
      アクセスのいずれかのタイプを表すワイルドカード。
    • Chdir
      ディレクトリの変更 - アクセサは、オブジェクトを別のディレクトリに移動するように要求しました。
    • Chmod
      モードの変更 - アクセサは、オブジェクトのモードを変更するように要求しました。
    • Chgrp
      (UNIX)グループの変更 - アクセサは、オブジェクトが属するグループを変更するように要求しました。
    • Chown
      所有者の変更 - アクセサは、オブジェクトの所有者を変更するように要求しました。
      接続
      グループへのユーザの追加 - アクセサは、新しいユーザをグループに追加するように要求しました。
      注:
      Connect の値と Join の値は同一です。
      Control
      (UNIX)コントロール - アクセサは、オブジェクトへの Chown、Chmod、Utime、Sec、Chdir、および Update アクセスを要求しました。
    • Cre
      作成 - アクセサは、オブジェクトを作成するように要求しました。
      Crrdwr
      作成、読み取り、および書き込み - アクセサは、オブジェクトへの Create、Read、および Write アクセスを要求しました。
      注:
      CA ControlMinder は、対応する監査レコードに、この値を「CrRdWrite」として書き込みます。
      Crread
      作成および読み取り - アクセサは、オブジェクトへの Create および Read アクセスを要求しました。
      注:
      CA ControlMinder は、対応する監査レコードに、この値を「CrRead」として書き込みます。
      Crwrite
      作成および書き込み - アクセサは、オブジェクトへの Create および Write アクセスを要求しました。
      注:
      CA ControlMinder は、対応する監査レコードに、この値を「CrWrite」として書き込みます。
    • Del
      削除 - アクセサは、オブジェクトを削除するように要求しました。
      注:
      CA ControlMinder は、対応する監査レコードに、この値を「Erase」として書き込みます。
    • Join
      グループへのユーザの追加 - アクセサは、新しいユーザをグループに追加するように要求しました。
      注:
      Connect の値と Join の値は同一です。
    • Kill
      強制終了 - アクセサは、プロセスを強制終了するように要求しました。
      Modify
      変更 - アクセサは、オブジェクトへの Modify アクセスを要求しました。
      OwnGrp
      所有者の変更およびグループの変更 - アクセサは、オブジェクトへの Chown および Chgrp アクセスを要求しました。
      PW
      パスワード - アクセサは、パスワードを変更するように要求しました。
      注:
      CA ControlMinder は、対応する監査レコードに、この値を「Password」として書き込みます。
    • R
      読み取り - アクセサは、オブジェクトへの読み取りアクセスを要求しました。
      注:
      (UNIX)STAT_intercept が 1 に設定されている場合、このパラメータには
      stat
      interception が含まれます。
    • Rename
      ファイル名の変更 - アクセサは、オブジェクトのファイル名を変更するように要求しました。
    • Sec
      オブジェクトの ACL の変更 - アクセサは、オブジェクトの ACL を編集するように要求しました。
      注:
      CA ControlMinder は、対応する監査レコードに、この値を「ACL」として書き込みます。
      Update
      読み取り、書き込み、および実行 - アクセサは、オブジェクトへの Read、Write、および Execute アクセスを要求しました。
      注:
      アクセサがオブジェクトへの Read および Write アクセスを要求した場合、イベントは Update 値でもフィルタリングされます。
    • Utime
      (UNIX) 時刻の変更 - アクセサは、オブジェクトの変更時刻を変更するように要求しました。
      注:
      CA ControlMinder は、対応する監査レコードに、この値を「Utimes」として書き込みます。
    • W
      書き込み - アクセサは、オブジェクトへの書き込みアクセスを要求しました。
    • X
      実行 - アクセサは、オブジェクトを実行するように要求しました。
    注:
    一部のクラスでは有効ではない値もあります。 たとえば、強制終了アクションは FILE クラスのオブジェクトには使用できないため、強制終了は FILE クラスでは無効な値です。 ルールの作成時に、クラスに対して無効な値を入力すると、CA ControlMinder はファイルの読み取り時にそのルールを無視します。
  • AuthorizationResult
    認証結果を定義します。
    値は以下のとおりです。
P - 許可
D - 拒否
O - ログアウト
I - serevu による非アクティブ化(ユーザの無効化) 
E - serevu によるユーザ ログインの有効化
A - パスワードの試行を検知
* - 任意の値を表すワイルドカード
例: 監査フィルタ ポリシー
  • 監査フィルタ ポリシーの例を以下に示します。
    env config er config audit.cfg line+("FIEL;*;*;*;R;P")
  • このポリシーは、以下の行を audit.cfg ファイルに書き込みます。 この行は、ファイル リソースへの読み取りアクセスのためにアクセサが行った許可された試行を記録した監査レコードをフィルタします。
    FILE;*;*;*;R;P