ログイン イベント
ログイン イベントは または で保護されるホストへのログイン試行を示しています。
cminder12902jp
ログイン イベントは
Privileged Identity Manager
または Privileged Identity Manager
で保護されるホストへのログイン試行を示しています。このイベントの監査レコードは、以下の形式になります。
Date Time Status Event UserName SessionID Details Reason Terminal Program AuditFlags
- 日付イベントが発生した日付を識別します。形式:DD MMM YYYY注:Privileged Identity Managerエンドポイント コンソールでは、コンピュータの設定に従って日付表示が整形されます。
- 時間イベントが発生した時間を識別します。形式:HH:MM:SS注:Privileged Identity Managerエンドポイント コンソールでは、コンピュータの設定に従って時間表示が整形されます。
- ステータスイベントのリターン コードを示します。値:以下のいずれかです。
- D (拒否) - 権限が不十分であるためイベントが拒否されました。
- P (許可) - イベントが許可されました。
- W (警告) - アクセス要求はアクセス ルールに違反していますが、警告モードが設定されているためイベントが許可されました。
- イベントこのレコードが属するイベントのタイプを識別します。注:Privileged Identity Managerエンドポイント コンソールでは、このフィールドは単に「イベント」として参照されます。
- UserNameこのイベントをトリガしたアクションを実行したアクセサの名前を識別します。
- SessionIDアクセサのセッション ID を識別します。注:デフォルトでは、このフィールドは seaudit の詳細でない出力には表示されません。 seaudit の詳細でない出力でこのフィールドを表示するには、seaudit コマンドに -sessionid オプションを指定します。
- 詳細Privileged Identity Managerがこのイベントに対して実行するアクションを決定したステージを示します。注:seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は承認 stage code といいます。 詳細な出力またはPrivileged Identity Managerエンドポイント コンソールでは、監査レコードに承認 stage code に関連するメッセージが表示されます。 すべての stage code を一覧表示するには、seaudit -t を実行します。
- 理由Privileged Identity Managerが監査レコードを書き込んだ理由を示します。注:このフィールドは seaudit の詳細な出力またはPrivileged Identity Managerエンドポイント コンソールには表示されません。 seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は理由コードといいます。 すべての理由コードを一覧表示するには、seaudit -t を実行します。
- 端末アクセス元がホストに接続するのに使用した端末名を識別します。
- プログラムイベントをトリガしたプログラム名を識別します。 これは、ログイン試行にアクセサが使用したプログラムです。Privileged Identity Managerの管理ログインでは、ログインしたモジュールを指します(selang、Web サービスなど)。
- AuditFlagsアクセス元が内部ユーザ(Privileged Identity Managerデータベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。注:アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」 の文字列が表示されます。 エンタープライズ ユーザではない場合、このフィールドは空白です。
例:ログイン イベント メッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
28 Oct 2008 12:15:01 P LOGIN root 49047159:0000034b 59 2 _CRONJOB_ SBIN_CRON Event: Login event Status: Permitted UserName: root Terminal: _CRONJOB_ Program: SBIN_CRON Date: 28 Oct 2008 Time: 12:15 Details: Resource UACC check SessionID: 49047159:0000034b AuditFlags: AC database user
この監査レコードは、2008 年 10 月 28 日、12 時 15 分 01 秒に、保護されたホストに root ユーザが _CRONJOB_ 端末からログインし、SBIN_CRON プログラムを実行したことを示しています。 リソースのデフォルトのアクセス許可で、このアクションが許可されているため、
Privileged Identity Manager
は操作を許可しました(承認 stage code 59 - リソース UACC のチェック)。 アクセス元の監査モードでこのイベントをログに記録することが指定されているため、このイベントはログに記録されます(理由コード 2 - ユーザ監査モードは、ログ記録を必要とします)。