受信ネットワーク接続イベント
受信ネットワーク接続イベントは、保護されたホストへの受信トラフィックを示します。 受信ネットワーク イベントは 2 つの形式で監査されます(ローカル データベースのクラスのアクティブ化に従う)。 どちらの監査イベント タイプにも同じ情報が含まれますが表示方法が異なります。 たとえば、片方の監査イベントには HOST がクラス名として含まれますが、もう一方には TCP がクラス名として表示されます。
cminder12902jp
受信ネットワーク接続イベントは、保護されたホストへの受信トラフィックを示します。 受信ネットワーク イベントは 2 つの形式で監査されます(ローカル データベースのクラスのアクティブ化に従う)。 どちらの監査イベント タイプにも同じ情報が含まれますが表示方法が異なります。 たとえば、片方の監査イベントには HOST がクラス名として含まれますが、もう一方には TCP がクラス名として表示されます。
このイベントの監査レコードは、以下の形式になります。
Date Time Status Event Service Details Reason Host Program
- 日付イベントが発生した日付を識別します。形式:DD MMM YYYY注:Privileged Identity Managerエンドポイント コンソールでは、コンピュータの設定に従って日付表示が整形されます。
- 時間イベントが発生した時間を識別します。形式:HH:MM:SS注:Privileged Identity Managerエンドポイント コンソールでは、コンピュータの設定に従って時間表示が整形されます。
- ステータスイベントのリターン コードを示します。値:以下のいずれかです。
- D (拒否) - 権限が不十分であるためイベントが拒否されました。
- P (許可) - イベントが許可されました。
- W (警告) - アクセス要求はアクセス ルールに違反していますが、警告モードが設定されているためイベントが許可されました。
- イベント タイプこのレコードが属するイベントのタイプを識別します。注:Privileged Identity Managerエンドポイント コンソールでは、このフィールドは単に「イベント」として参照されます。
- Service接続が使用されるサービスの名前を識別します。
- 詳細Privileged Identity Managerがこのイベントに対して実行するアクションを決定したステージを示します。注:seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は承認 stage code といいます。 詳細な出力またはPrivileged Identity Managerエンドポイント コンソールでは、監査レコードに承認 stage code に関連するメッセージが表示されます。 すべての stage code を一覧表示するには、seaudit -t を実行します。
- 理由Privileged Identity Managerが監査レコードを書き込んだ理由を示します。注:このフィールドは seaudit の詳細な出力またはPrivileged Identity Managerエンドポイント コンソールには表示されません。 seaudit の詳細でない出力では、監査レコードのこのフィールドに数字が表示されます。 この数字は理由コードといいます。 すべての理由コードを一覧表示するには、seaudit -t を実行します。
- Host nameネットワーク トラフィックの送信元のホスト名を示します。
- プログラム(UNIX のみ)アクセサが実行しようとしているプログラム名を示します。
例: 受信ネットワーク接続イベントのメッセージ
以下の監査レコードは、seaudit の詳細出力から取得したものです。
17 Nov 2008 12:22:04 D HOST telnet 173 3 computer.org.com /usr/sbin/inetd Event type: Inbound network connection Status: Denied Host name: computer.org.com Service: telnet Program: /usr/sbin/inetd/ Date: 17 Nov 2008 Time: 12:22 Details: HOST entry day & time restrictions Audit flags: AC database user
この監査レコードは、2008 年 11 月 17 日に、telnet サービスを使用してホスト computer.org.com にアクセスして inetd プログラムを実行しようとしたアクセサが、保護されたホストに適用される日時の制限のために拒否されたことを示します(承認 stage code 173 - HOST エントリの日時の制限)。 リソースの監査モードでこのイベントはログに記録する必要があると指定しているため、
Privileged Identity Manager
はこのイベントをログに記録しました(理由コード 3 - リソース監査モードはログへの記録を要求しました)。