リソース アクセス イベント

リソース アクセス イベントは FILE、TERMINAL、PROGRAM などのリソースへのアクセス試行を示しています。 このイベントの監査レコードのデータは、アクセス元が TERMINAL リソースへのアクセスを試行するときに、LOGIN イベントなどのほかのレコードにも表示させることができます。 この場合のイベント レコードは LOGIN タイプですが、レコードに表示される監査レコードのデータは、リソース アクセス イベント メッセージのうちのいずれかです。
cminder12902jp
リソース アクセス イベントは FILE、TERMINAL、PROGRAM などのリソースへのアクセス試行を示しています。 このイベントの監査レコードのデータは、アクセス元が TERMINAL リソースへのアクセスを試行するときに、LOGIN イベントなどのほかのレコードにも表示させることができます。 この場合のイベント レコードは LOGIN タイプですが、レコードに表示される監査レコードのデータは、リソース アクセス イベント メッセージのうちのいずれかです。
このイベントの監査レコードは、以下の形式になります。
Date Time Status Class UserName SessionID Access Details Reason Resource Program Terminal EffectiveUserName AuditFlags
注:
UNIX または Linux の場合は、
AuditFlags
パラメータが
EffectiveUserName
パラメータの前になります。
  • 日付
    イベントが発生した日付を識別します。
    形式:
    DD MMM YYYY
    注:
    Privileged Identity Manager
    エンドポイント コンソールでは、コンピュータの設定に従って日付表示が整形されます。
  • 時間
    イベントが発生した時間を識別します。
    形式:
    HH:MM:SS
    注:
    Privileged Identity Manager
    エンドポイント コンソールでは、コンピュータの設定に従って時間表示が整形されます。
  • ステータス
    イベントのリターン コードを示します。
    値:
    以下のいずれかです。
    • D (拒否) - 権限が不十分であるためイベントが拒否されました。
    • P (許可) - イベントが許可されました。
    • W (警告) - アクセス要求はアクセス ルールに違反していますが、警告モードが設定されているためイベントが許可されました。
    • N (通知) - イベントが許可され、許可されたリソースへのアクセス試行が発生したことを通知します。
    • F (失敗) - イベントは許可されましたが、オペレーティング システム コマンドは失敗しました。
  • Class
    アクセスされているリソースが属するクラスを識別します。
  • ユーザ名
    このイベントをトリガしたアクションを実行したアクセサの名前を識別します。
  • ユーザ ログオン セッション ID
    アクセサのセッション ID を識別します。
    注:
    デフォルトでは、このフィールドは seaudit の詳細でない出力には表示されません。 seaudit の詳細でない出力でこのフィールドを表示するには、seaudit コマンドに -sessionid オプションを指定します。
  • Access
    このイベントをトリガしたアクセス試行のタイプを識別します。
    例:
    読み取り
    注:
    アクセスの値は、インターセプトされたリソースが属するクラスによって異なります。 各クラスに対するアクセス権限の詳細については、「
    selang リファレンス ガイド
    」を参照してください。
  • 詳細
    Privileged Identity Manager
    がこのイベントに対して実行するアクションを決定したステージを示します。
    注:
    seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は承認 stage code といいます。 詳細な出力または
    Privileged Identity Manager
    エンドポイント コンソールでは、監査レコードに承認 stage code に関連するメッセージが表示されます。 すべての stage code を一覧表示するには、seaudit -t を実行します。
  • 理由
    Privileged Identity Manager
    が監査レコードを書き込んだ理由を示します。
    注:
    このフィールドは seaudit の詳細な出力または
    Privileged Identity Manager
    エンドポイント コンソールには表示されません。 seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は理由コードといいます。 すべての理由コードを一覧表示するには、seaudit -t を実行します。
  • Resource
    アクセスまたは更新されている実際のリソースの名前を識別します。
  • プログラム
    イベントをトリガしたプログラム名を識別します。 これは、アクセス元がリソースへのアクセス試行に使用するプログラムです
  • 端末
    アクセス元がホストに接続するのに使用した端末名を識別します。 (UNIX のみ)。
  • Effective User Name
    このイベントをトリガしたネイティブ OS の実際のユーザ名を識別します。 ユーザが別のユーザを代行する(代理になる)または setuid プログラムを実行する場合、この名前はユーザ名とは異なります。
  • 監査フラグ
    アクセス元が内部ユーザ(
    Privileged Identity Manager
    データベース ユーザ)であるかまたはエンタープライズ ユーザであるかを示します。
    注:
    アクセス元がエンタープライズ ユーザである場合、seaudit の詳細でない出力では、監査レコードのこのフィールドに「(OS user)」 の文字列が表示されます。 エンタープライズ ユーザではない場合、このフィールドは空白です。
例: リソース アクセス イベント メッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
18 Nov 2008 15:23:56 D FILE admabc 4922ae61:00000132 Read 69 3 /tmp/one /usr/local/bin/tcsh localhost admabc Event type: Resource access Status: Denied Class: FILE Resource: /tmp/one Access: Read User name: admabc Terminal: localhost Program: /usr/local/bin/tcsh Date: 18 Nov 2008 Time: 15:23 Details: No Step that allowed access User Logon Session ID: 4922ae61:00000132 Audit flags: AC database user Effective user name: admabc
この監査レコードは 2008 年 11 月 18 日 15:23:56 に、ユーザ admabc がローカル コンピュータから UNIX tcsh シェル プログラムを使用して、保護された /tmp/one ファイル リソースを読み取ろうとしたことを示します。 このタイプのアクセスを許可するルールがデータベースに存在しないため、
Privileged Identity Manager
は操作を拒否しました(許可ステージ コード 69 - アクセスを許可したステップがありません)。 リソースの監査モードでこのイベントはログに記録する必要があると指定しているため、
Privileged Identity Manager
はこのイベントをログに記録しました(理由コード 3 - リソース監査モードはログへの記録を要求しました)。