사용자에 대한 추적 메시지
사용자 이벤트에 대한 추적 메시지는 보호된 리소스를 열거나 실행하거나 사용하려는 시도에 대해 설명합니다.
cminder12901kr
사용자 이벤트에 대한 추적 메시지는 보호된 리소스를 열거나 실행하거나 사용하려는 시도에 대해 설명합니다.
이 이벤트의 감사 레코드 형식은 Windows에서 다음과 같습니다.
Date Time Status Event UserNameSessionID RealUID RealUsername Class Resource DetailsAuditFlags Trace
이 이벤트의 감사 레코드 형식은 UNIX에서 다음과 같습니다.
Date Time Status Event UserNameSessionID EffectiveUsername RealUsername Class Resource DetailsAuditFlags Trace
- Date이벤트가 발생한 날짜를 식별합니다.형식:DD MMM YYYY참고:Privileged Identity Manager끝점 콘솔은 컴퓨터 설정에 따라 날짜 표시 형식을 지정합니다.
- Time이벤트가 발생한 시간을 식별합니다.형식:HH:MM:SS참고:Privileged Identity Manager끝점 콘솔은 컴퓨터 설정에 따라 시간 표시 형식을 지정합니다.
- 상태이벤트의 반환 코드를 나타냅니다.값:다음 중 하나일 수 있습니다.
- D(거부됨) - 권한이 부족하여 이벤트가 거부되었습니다.
- P(허용됨) - 이벤트가 허용되었습니다.
- W(경고) - 액세스 요청이 액세스 규칙을 위반하지만 경고 모드가 설정되어 이벤트가 허용되었습니다.
참고:자세한 seaudit 출력에서는 이 필드에 추적 정보가 표시됩니다. - 이벤트 유형이 레코드가 속하는 이벤트 유형을 식별합니다.참고:Privileged Identity Manager끝점 콘솔에서는 이 필드를 간단하게이벤트라고 합니다.
- 사용자 이름이 이벤트를 트리거한 작업을 수행한 접근자의 이름을 식별합니다.
- 사용자 로그온 세션 ID접근자의 세션 ID를 식별합니다.
- 실제 사용자 ID프로세스를 호출한 사용자의 사용자 ID를 식별합니다.참고:(UNIX) 이 필드는 간략한 seaudit 출력으로 표시되지 않습니다.
- 실제 사용자 이름추적된 작업을 수행하는 사용자 이름을 식별합니다.
- 유효 사용자 ID(UNIX 전용) 기본 OS 유효 사용자 ID의 ID를 나타냅니다.참고:이 필드는 간략한 seaudit 출력으로 표시되지 않습니다.
- 유효 사용자 이름이 이벤트를 트리거한 기본 OS 유효 사용자의 이름을 식별합니다. 사용자가 다른 사용자를 대체(대리)하거나 setuid 프로그램을 실행하는 경우 이 이름은 사용자 이름과 다릅니다.
- 클래스액세스되는 리소스가 속하는 클래스를 식별합니다.
- 리소스액세스 또는 업데이트되는 실제 리소스의 이름을 식별합니다.
- 자세한 내용Privileged Identity Manager가 이 이벤트에 대해 수행할 작업을 결정한 단계를 나타냅니다.참고:간략한 seaudit 출력의 감사 레코드는 이 필드에 숫자를 표시합니다. 이 숫자를 권한 부여 단계 코드라고 합니다. 자세한 출력이나Privileged Identity Manager끝점 콘솔의 감사 레코드는 권한 부여 단계 코드와 연관된 메시지를 표시합니다. 전체 단계 코드 목록을 보려면 seaudit -t를 실행하십시오.
- 추적 정보클래스, 리소스 및 해당 리소스에 대해 수행된 작업 또는 이 작업의 결과를 비롯한 추적 세부 정보를 표시합니다.
- 감사 플래그접근자가 내부 사용자(Privileged Identity Manager데이터베이스 사용자)인지 아니면 엔터프라이즈 사용자인지를 나타냅니다.참고:접근자가 엔터프라이즈 사용자인 경우 간략한 seaudit 출력의 감사 레코드는 이 필드에 "(OS 사용자)"라는 문자열을 표시합니다. 그렇지 않으면 이 필드는 비어 있습니다.
예: UNIX의 사용자에 대한 추적 메시지 이벤트 메시지
다음 감사 레코드는 자세한 seaudit 출력에서 가져온 것입니다.
03 Nov 2008 10:38:47 P TRACE root 490daddd:00000140 john root FILE /home/jon/file.txt 55 FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Event type: Trace message on a user Date: 03 Nov 2008 Time: 10:38 Details: Resource ACL check Trace information: FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Class: FILE Resource: /home/admin/file.txt User name: root Real user ID: 108 Real user name: john Effective user ID: 108 Effective user name: root User Logon Session ID: 490daddd:00000140 Audit flags: AC database user
이 감사 레코드는 2008년 11월 3일에 관리자가 FILE 클래스에 속하는 리소스에 액세스를 시도하여 추적 메시지가 기록되었음을 나타냅니다. 액세스된 리소스의 ACL에 따라 관리자 액세스가 허용되었습니다(권한 부여 단계 코드 55 - 리소스 ACL 검사).
예: Windows의 사용자에 대한 추적 메시지 이벤트 메시지
다음 감사 레코드는 자세한 seaudit 출력에서 가져온 것입니다.
10 Nov 2008 10:14:53 P TRACE MACHINE\Administrator 00000000:172ef9ef MACHINE\john MACHINE\john WINSERVICE _default 1059 WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? Default record universal access check Event type: Trace message on a user Date: 10 Nov 2008 Time: 10:14 Details: Default record universal access check Trace information: WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? Default record universal access check Class: WINSERVICE Resource: _default User name: MACHINE\Administrator Real user name: MACHINE\john User Logon Session ID: 00000000:172ef9ef Audit flags:AC database user
이 감사 레코드는 2008년 11월 10일에 관리자가 WINSERVICE 클래스에 속하는 _default 리소스에 액세스를 시도하여 추적 메시지가 트리거되었음을 나타냅니다. 레코드 범용 액세스 검사로 인해 관리자 액세스가 허용되었습니다(권한 부여 단계 코드 1059 - 기본 레코드 범용 액세스 검사).