監査レコードのイベント タイプを識別する方法

監査レコードのコンテンツを理解するには、最初に監査レコードのイベント タイプを識別する必要があります。 これは、レコードに含まれるデータが監査レコードの作成をトリガしたイベントのタイプによって異なるためです。
cminder12902jp
監査レコードのコンテンツを理解するには、最初に監査レコードのイベント タイプを識別する必要があります。 これは、レコードに含まれるデータが監査レコードの作成をトリガしたイベントのタイプによって異なるためです。
注:
監査ログ レコードに表示される列の順序、数、および内容は、選択した監査ログの表示方法に応じて異なります。 一部のフィールドは、
Privileged Identity Manager
エンドポイント コンソール、seaudit の出力、または seaudit の詳細出力に表示されません。 また、seaudit ユーティリティを使用する場合は、指定するオプションが列の番号、順序、および内容も特定します。
監査レコードのイベント タイプを識別する方法
  • Privileged Identity Manager
    エンドポイント コンソールで監査レコードを表示している場合は、監査レコードが属しているイベント タイプが[監査レコード検索結果]ペインの最初の列に表示されます。
    監査レコードの詳細を表示するには、最初の列の監査イベント タイプのリンクをクリックします。
  • seaudit 出力で監査レコードを表示している場合は、詳細な出力(-detail オプション)を表示してイベント タイプを表示する必要があります。
イベント タイプを識別したら、次に残りのメッセージの詳細を解釈することができます。
例:
Privileged Identity Manager
エンドポイント コンソールの監査レコード
以下のイメージでは、
Privileged Identity Manager
エンドポイント コンソールが監査イベントを表示する方法を示します。
The Audit Records Result pane displays audit records that match the display filter criteria
例:デフォルトの seaudit 出力の監査レコード
seaudit ユーティリティでデフォルトで示される監査イベントは、以下の seaudit 出力(抜粋)のようになります。
19 Dec 2008 16:46:47 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:46:52 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:46:53 P LOGIN TM123VM-AC\Administrator 55 2 TM123VM-AC C:\WINDOWS\system32\lsass.exe 19 Dec 2008 16:46:57 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:02 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:07 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:12 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:16 S UPDATE GROUP TM123VM-AC\Administrator 336 0 test TM123VM-AC egtest audit- 19 Dec 2008 18:28:18 P LOGIN TM123VM-AC\Administrator 55 10 TM123VM-AC selang 19 Dec 2008 18:28:18 S UPDATE TERMINAL TM123VM-AC\Administrator 305 0 TM123VM-AC-SC1.ca.com TM123VM-AC er terminal TM123VM-AC-SC1.ca.com
上記のメッセージのうち、最初の seaudit 出力について、詳細を以下に示します。
19 Dec 2008 16:46:47 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TW852VM-AC Event type: Resource access Status: Permitted Class: WINSERVICE Resource: VMTools Access: Read User name: TM123VM-AC\Administrator User Logon Session ID: 00000000:05647d29 Terminal: TM123VM-AC Program: C:\WINDOWS\system32\services.exe Date: 19 Dec 2008 Time: 16:46 Details: Default record universal access check Audit flags: AC database user