아웃바운드 네트워크 연결 이벤트
아웃바운드 네트워크 연결 이벤트는 보호된 호스트로의 아웃바운드 트래픽을 나타냅니다. 아웃바운드 네트워크 이벤트는 로컬 데이터베이스의 클래스 활성화에 따라 두 가지 형태로 감사됩니다. 두 감사 이벤트 유형은 모두 동일한 정보를 포함하지만 다른 보기를 사용합니다. 예를 들어 한 감사 이벤트에는 HOST가 클래스 이름으로 포함되는 반면 다른 이벤트에서는 TCP를 클래스 이름으로 표시합니다.
cminder12902kr
아웃바운드 네트워크 연결 이벤트는 보호된 호스트로의 아웃바운드 트래픽을 나타냅니다. 아웃바운드 네트워크 이벤트는 로컬 데이터베이스의 클래스 활성화에 따라 두 가지 형태로 감사됩니다. 두 감사 이벤트 유형은 모두 동일한 정보를 포함하지만 다른 보기를 사용합니다. 예를 들어 한 감사 이벤트에는 HOST가 클래스 이름으로 포함되는 반면 다른 이벤트에서는 TCP를 클래스 이름으로 표시합니다.
이 이벤트의 감사 레코드 형식은 다음과 같습니다.
DateTimeStatusClassServiceUserNameDetailsReasonHostProgramTerminal AuditFlags
- Date이벤트가 발생한 날짜를 식별합니다.형식:DD MMM YYYY참고:Privileged Identity Manager끝점 콘솔은 컴퓨터 설정에 따라 날짜 표시 형식을 지정합니다.
- Time이벤트가 발생한 시간을 식별합니다.형식:HH:MM:SS참고:Privileged Identity Manager끝점 콘솔은 컴퓨터 설정에 따라 시간 표시 형식을 지정합니다.
- 상태이벤트의 반환 코드를 나타냅니다.값:다음 중 하나일 수 있습니다.
- D(거부됨) - 권한이 부족하여 이벤트가 거부되었습니다.
- P(허용됨) - 이벤트가 허용되었습니다.
- W(경고) - 액세스 요청이 액세스 규칙을 위반하지만 경고 모드가 설정되어 이벤트가 허용되었습니다.
- 클래스클래스의 이름입니다.
- 서비스연결에 사용된 서비스의 이름을 식별합니다.
- 사용자 이름이 이벤트를 트리거한 작업을 수행한 접근자의 이름을 식별합니다.
- 자세한 내용Privileged Identity Manager이 이 이벤트에 대해 수행할 작업을 결정한 단계를 나타냅니다.참고:간략한 seaudit 출력의 감사 레코드는 이 필드에 숫자를 표시합니다. 이 숫자를 권한 부여 단계 코드라고 합니다. 자세한 출력이나Privileged Identity Manager끝점 콘솔의 감사 레코드는 권한 부여 단계 코드와 연관된 메시지를 표시합니다. 전체 단계 코드 목록을 보려면 seaudit -t를 실행하십시오.
- 원인Privileged Identity Manager가 감사 레코드를 작성한 사유를 나타냅니다.참고:자세한 seaudit 출력이나Privileged Identity Manager끝점 콘솔에는 이 필드가 표시되지 않습니다. 자세하지 않은 seaudit 출력의 감사 레코드는 이 필드에 숫자를 표시합니다. 이 숫자를 사유 코드라고 합니다. 전체 사유 코드 목록을 보려면 seaudit -t를 실행하십시오.
- 호스트 이름대상 호스트의 이름을 식별합니다.
- Program이벤트를 트리거한 프로그램의 이름을 식별합니다.
- 터미널접근자가 호스트에 연결하는 데 사용한 터미널의 이름을 식별합니다.
- 사용자 로그온 세션 ID접근자의 세션 ID를 식별합니다.참고:기본적으로 이 필드는 간략한 seaudit 출력으로 표시되지 않습니다. 간략한 seaudit 출력으로 필드를 표시하려면 seaudit 명령에 -sessionid 옵션을 지정하십시오. 사용자 로그온 세션 ID 필드는 TCP 또는 CONNECT 클래스 정의의 결과로 생성된 이벤트에만 추가됩니다.
- 감사 플래그접근자가 내부 사용자(Privileged Identity Manager데이터베이스 사용자)인지 아니면 엔터프라이즈 사용자인지를 나타냅니다.참고:접근자가 엔터프라이즈 사용자인 경우 간략한 seaudit 출력의 감사 레코드는 이 필드에 "(OS 사용자)"라는 문자열을 표시합니다. 그렇지 않으면 이 필드는 비어 있습니다.
예: 아웃바운드 네트워크 연결 이벤트 메시지
다음 감사 레코드는 자세한 seaudit 출력에서 가져온 것입니다.
21 Jan 2009 15:37:43 D TCP telnet root 408 2 computer.org /usr/bin/telnet computer.com Event type: Outbound network connection Status: Denied Host name: computer.org Service:telnet Program: /usr/bin/telnet User name: Administrator Terminal: computer.com User name: root Date: 21 Jan 2009 Time: 15:37:43 Details: Default access of TCP service User Logon Session ID: 4977248c:0000012a5248 Audit flags: AC database user
이 감사 레코드는 2009년 1월 21일에 관리자가 텔넷 서비스를 통해 computer.org 터미널에서 computer.com 컴퓨터로 나가는 연결을 열었음을 나타냅니다.
Privileged Identity Manager
은 TCP 레코드의 defaccess 속성 때문에 이 작업을 거부했습니다. (권한 부여 단계 코드 408 - TCP 서비스의 기본값). Privileged Identity Manager
은 접근자의 AUDIT_MODE 속성이 레코드 결과와 일치하여 이 이벤트를 기록했습니다. (사유 코드 2 - 사용자 감사 모드에 로깅 필요)