audit.cfg ファイルのネットワーク接続イベント フィルタ構文
ネットワーク接続イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
cminder12902jp
ネットワーク接続イベントに属する監査レコードのフィルタ形式は、以下のとおりです。
{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult
- HOSTHOST クラスのオブジェクト、すなわち TCP 受信接続によって生成されたレコードをルールがフィルタリングするように指定します。
- TCPTCP クラスのオブジェクト、すなわちサービス イベントとの接続によって生成されたレコードをルールがフィルタリングするように指定します。
- ObjectNameアクセスされたオブジェクトの名前を定義します。ObjectNameにはサービス名またはポート番号を指定できます。
- HostNameホストの名前を定義します。HostNameは、HOST クラスのオブジェクトである必要があります。
- ProgramPathログイン プログラムのタイプを定義します。(Windows)送信接続では、このパラメータは接続を確立しようとするプロセスのプログラム パスを定義します。注:このパラメータは、受信接続イベントでは何も意味がありません。 受信接続イベントによって生成された監査レコードをフィルタリングするためには、このパラメータに * を使用してください。
- Access試行された接続のタイプを定義します。値は以下のとおりです。
- (HOST)*
- (TCP)R(受信接続)、W(送信接続)、*
- AuthorizationResult認証結果を定義します。値:P (許可されました)、D (拒否されました)、*
例: ネットワーク接続イベントのフィルタ
- この例では、正常な受信 telnet 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。HOST;telnet;ca.com;*;*;P
- この例では、拒否された受信および送信ログイン TCP 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。TCP;login;ca.com;*;*;D
- この例では、送信 telnet 接続によって生成されたホスト ca.com からのすべての監査レコードをフィルタします。TCP;telnet;ca.com;*;W;*