리소스 액세스 이벤트
리소스 액세스 이벤트는 FILE, TERMINAL, PROGRAM 등의 리소스에 대한 액세스 시도를 설명합니다. 이 이벤트의 감사 레코드 데이터는 다른 레코드에 나타날 수 있습니다(예: 접근자가 TERMINAL 리소스에 액세스하는 LOGIN 이벤트). 이 경우의 이벤트 레코드는 LOGIN 유형이지만 레코드에 나타나는 감사 레코드 데이터는 리소스 액세스 이벤트 메시지 중 하나입니다.
cminder12901kr
리소스 액세스 이벤트는 FILE, TERMINAL, PROGRAM 등의 리소스에 대한 액세스 시도를 설명합니다. 이 이벤트의 감사 레코드 데이터는 다른 레코드에 나타날 수 있습니다(예: 접근자가 TERMINAL 리소스에 액세스하는 LOGIN 이벤트). 이 경우의 이벤트 레코드는 LOGIN 유형이지만 레코드에 나타나는 감사 레코드 데이터는 리소스 액세스 이벤트 메시지 중 하나입니다.
이 이벤트의 감사 레코드 형식은 다음과 같습니다.
Date Time Status Class UserName SessionID Access Details Reason Resource Program Terminal EffectiveUserName AuditFlags
참고:
UNIX 또는 Linux에서 AuditFlags
매개 변수는 EffectiveUserName
매개 변수보다 선행합니다.- Date이벤트가 발생한 날짜를 식별합니다.형식:DD MMM YYYY참고:Privileged Identity Manager끝점 콘솔은 컴퓨터 설정에 따라 날짜 표시 형식을 지정합니다.
- Time이벤트가 발생한 시간을 식별합니다.형식:HH:MM:SS참고:Privileged Identity Manager끝점 콘솔은 컴퓨터 설정에 따라 시간 표시 형식을 지정합니다.
- 상태이벤트의 반환 코드를 나타냅니다.값:다음 중 하나일 수 있습니다.
- D(거부됨) - 권한이 부족하여 이벤트가 거부되었습니다.
- P(허용됨) - 이벤트가 허용되었습니다.
- W(경고) - 액세스 요청이 액세스 규칙을 위반하지만 경고 모드가 설정되어 이벤트가 허용되었습니다.
- N(알림) - 이벤트를 허용했으며 허용된 리소스에 대한 액세스 시도가 발생했음을 알립니다.
- F(실패) - 허용했지만 운영 체제 명령이 실패했습니다.
- 클래스액세스되는 리소스가 속하는 클래스를 식별합니다.
- 사용자 이름이 이벤트를 트리거한 작업을 수행한 접근자의 이름을 식별합니다.
- 사용자 로그온 세션 ID접근자의 세션 ID를 식별합니다.참고:기본적으로 이 필드는 간략한 seaudit 출력으로 표시되지 않습니다. 간략한 seaudit 출력으로 필드를 표시하려면 seaudit 명령에 -sessionid 옵션을 지정하십시오.
- 액세스이 이벤트를 트리거한 액세스 시도 유형을 식별합니다.예:읽기참고:액세스 값은 차단된 리소스가 속하는 클래스에 따라 달라집니다. 각 클래스의 액세스 권한에 대한 자세한 내용은selang 참조 안내서를 참조하십시오.
- 자세한 내용Privileged Identity Manager가 이 이벤트에 대해 수행할 작업을 결정한 단계를 나타냅니다.참고:간략한 seaudit 출력의 감사 레코드는 이 필드에 숫자를 표시합니다. 이 숫자를 권한 부여 단계 코드라고 합니다. 자세한 출력이나Privileged Identity Manager끝점 콘솔의 감사 레코드는 권한 부여 단계 코드와 연관된 메시지를 표시합니다. 전체 단계 코드 목록을 보려면 seaudit -t를 실행하십시오.
- 원인Privileged Identity Manager가 감사 레코드를 작성한 사유를 나타냅니다.참고:자세한 seaudit 출력이나Privileged Identity Manager끝점 콘솔에는 이 필드가 표시되지 않습니다. 자세하지 않은 seaudit 출력의 감사 레코드는 이 필드에 숫자를 표시합니다. 이 숫자를 사유 코드라고 합니다. 전체 사유 코드 목록을 보려면 seaudit -t를 실행하십시오.
- 리소스액세스 또는 업데이트되는 실제 리소스의 이름을 식별합니다.
- Program이벤트를 트리거한 프로그램의 이름을 식별합니다. 즉, 접근자가 리소스에 액세스하는 데 사용한 프로그램입니다.
- 터미널접근자가 호스트에 연결하는 데 사용한 터미널의 이름을 식별합니다. (UNIX 전용)
- 유효 사용자 이름이 이벤트를 트리거한 기본 OS 유효 사용자의 이름을 식별합니다. 사용자가 다른 사용자를 대체(대리)하거나 setuid 프로그램을 실행하는 경우 이 이름은 사용자 이름과 다릅니다.
- 감사 플래그접근자가 내부 사용자(Privileged Identity Manager데이터베이스 사용자)인지 아니면 엔터프라이즈 사용자인지를 나타냅니다.참고:접근자가 엔터프라이즈 사용자인 경우 간략한 seaudit 출력의 감사 레코드는 이 필드에 "(OS 사용자)"라는 문자열을 표시합니다. 그렇지 않으면 이 필드는 비어 있습니다.
예: 리소스 액세스 이벤트 메시지
다음 감사 레코드는 자세한 seaudit 출력에서 가져온 것입니다.
18 Nov 2008 15:23:56 D FILE admabc 4922ae61:00000132 Read 69 3 /tmp/one /usr/local/bin/tcsh localhost admabc Event type: Resource access Status: Denied Class: FILE Resource: /tmp/one Access: Read User name: admabc Terminal: localhost Program: /usr/local/bin/tcsh Date: 18 Nov 2008 Time: 15:23 Details: No Step that allowed access User Logon Session ID: 4922ae61:00000132 Audit flags: AC database user Effective user name: admabc
이 감사 레코드는 2008년 11월 18일 15:23:56에 사용자 admabc가 로컬 컴퓨터에서 UNIX tcsh 셸 프로그램을 사용하여 보호된 /tmp/one 파일 리소스를 읽으려고 했음을 나타냅니다.
Privileged Identity Manager
는 이 유형의 액세스 권한을 부여하는 규칙이 데이터베이스에 없으므로 이 작업을 거부했습니다(권한 부여 단계 코드 69 - 액세스를 허용한 단계가 없음). 리소스의 감사 모드가 이 이벤트를 로깅하도록 지정하기 때문에 Privileged Identity Manager
가 이 이벤트를 로깅했습니다(사유 코드 3 - 리소스 감사 모드에 로깅 필요).