|
|
|
日本-日本語 | |
|
|
|
|
OpenVMS マニュアル |
|
|
HP OpenVMS
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 目次 | 索引 |
この付録では,セキュリティ監査ログ・ファイルに書き込まれる監査メッセージの形式について説明します。省略時の設定では,監査ログ・ファイル SECURITY.AUDIT$JOURNALがSYS$COMMON:[SYSMGR]ディレクトリに作成されます。
セキュリティ監査レコードには,ヘッダ・パケットが1つ格納され,その後に, 図 F-1 に示す1つ以上のデータ・パケットが続きます。データ・パケットの数は,送信する情報の種類によって異なります。この付録では,監査ヘッダとデータ・パケットの形式について説明し,データ・パケットの内容についても説明します。
図 F-1 セキュリティ監査メッセージの形式
表 F-1 は, 図 F-2 に示す監査ヘッダ・パケットのフィールドの一覧です。
F.1 監査ヘッダ・パケット
図 F-2 監査ヘッダ・パケットの形式
| フィールド | シンボリック・オフセット | 内容 |
|---|---|---|
| タイプ | NSA$W_RECORD_TYPE | 発生したイベントのタイプを示す。詳しくは 表 F-2 を参照。 |
| サブタイプ | NSA$W_RECORD_SUBTYPE | 発生したイベントのタイプをさらに細かく定義する。詳しくは 表 F-2 を参照。 |
| フラグ | NSA$W_FLAGS | 監査対象イベントに対応するフラグを示す。詳しくは 表 F-3 を参照。今後の使用のために予約されている。(ワード) |
| パケット数 | NSA$W_PACKET_COUNT | 監査レコード内のデータ・パケットの数。 (ワード) |
| レコード・サイズ | NSA$W_RECORD_SIZE | 監査メッセージ全体のサイズ。サイズはヘッダ・パケットとすべてのデータ・パケットの合計である。(ワード) |
| バージョン | NSA$C_VERSION_3 | セキュリティ監査機能のバージョンを示す。シンボルNSA$C_VERSION_3は現在のバージョンを示す。(バイト) |
| 機能 | NSA$W_FACILITY | 作成されたイベントの機能コード。省略時の設定では,このフィールドは0であり,システムが作成したイベントであることを示す。 (ワード) |
サブタイプを入力する際には, 表 F-2 に示されている接頭字を含まないでください。
セキュリティ・イベントのタイプまたはサブタイプを表すシンボルを, 表 F-2 に示します。 NSA$W_RECORD_TYPE で定義される各監査イベント・レコード・タイプについては,シンボル NSA$W_RECORD_SUBTYPE で定義されるレコード・サブタイプがあります。これにより,さらにイベントが定義されます。
| イベント・タイプのシンボルとサブタイプ | 意味 | |
|---|---|---|
| NSA$C_MSG_AUDIT | 監査に対するシステム全体の変更 | |
| ALARM_STATE | イベントがアラームとして許可された。 | |
| AUDIT_DISABLED | 監査イベントが禁止された。 | |
| AUDIT_ENABLED | 監査イベントが許可された。 | |
| AUDIT_INITIATE | 監査サーバの起動。 | |
| AUDIT_LOG_FIRST | 監査ログ内の最初のエントリ(逆方向リンク)。 | |
| AUDIT_LOG_FINAL | 監査ログ内の最後のエントリ(順方向リンク)。 | |
| AUDIT_STATE | イベントが監査として許可された。 | |
| AUDIT_TERMINATE | 監査サーバのシャットダウン。 | |
| SNAPSHOT_ABORT 1 | システム・スナップショットの試みが強制終了された。 | |
| SNAPSHOT_ACCESS 1 | スナップショット・ファイルのアクセス/ アクセスの取り消し。 | |
| SNAPSHOT_SAVE 1 | システム・スナップショットの保存中。 | |
| SNAPSHOT_STARTUP 1 | システムがスナップショット・ファイルからブートされた。 | |
| NSA$C_MSG_BREAKIN | ブレークインの試みの検出 | |
| BATCH | バッチ・プロセス | |
| DETACHED | 独立プロセス | |
| DIALUP | ダイアルアップ会話型プロセス | |
| LOCAL | ローカル会話型プロセス | |
| NETWORK | ネットワーク・サーバ・タスク | |
| REMOTE | 別のネットワーク・ノードからの会話型プロセス | |
| SUBPROCESS | サブプロセス | |
| NSA$C_MSG_CONNECTION | 論理リンク接続または終了 | |
| CNX_ABORT | 接続が強制終了された。 | |
| CNX_ACCEPT | 接続が受け付けられた。 | |
| CNX_DECNET_CREATE | DECnet論理リンクが作成された。 | |
| CNX_DECNET_DELETE | DECnet論理リンクが切断された。 | |
| CNX_DISCONNECT | 接続が切断された。 | |
| CNX_INC_ABORT | 入力接続要求が強制終了された。 | |
| CNX_INC_ACCEPT | 入力接続要求が受け付けられた。 | |
| CNX_INC_DISCONNECT | 入力接続が切断された。 | |
| CNX_INC_REJECT | 入力接続要求が拒否された。 | |
| CNX_INC_REQUEST | 入力接続要求。 | |
| CNX_IPC_CLOSE | プロセス間通信の関係がクローズされた。 | |
| CNX_IPC_OPEN | プロセス間通信の関係がオープンされた。 | |
| CNX_REJECT | 接続が拒否された。 | |
| CNX_REQUEST | 接続が要求された。 | |
| NSA$C_MSG_INSTALL | Installユーティリティ(INSTALL)の使用 | |
| INSTALL_ADD | 既知のイメージがインストールされた。 | |
| INSTALL_REMOVE | 既知のイメージが削除された。 | |
| NSA$C_MSG_LOGFAIL | ログインの失敗 | |
| NSA$C_MSG_BREAKINのサブタイプを参照。 | ||
| NSA$C_MSG_LOGIN | ログインの成功 | |
| NSA$C_MSG_BREAKINのサブタイプを参照。 | ||
| NSA$C_MSG_LOGOUT | ログアウトの成功 | |
| NSA$C_MSG_BREAKINのサブタイプを参照。 | ||
| NSA$C_MSG_MOUNT | ボリュームのマウントまたはディスマウント | |
| VOL_DISMOUNT | ボリュームのディスマウント | |
| VOL_MOUNT | ボリュームのマウント | |
| NSA$C_MSG_NCP | ネットワーク構成データベースの変更 | |
| NCP_COMMAND | ネットワーク制御プログラム(NCP)のコマンドが入力された。 | |
| NSA$C_MSG_NETPROXY | ネットワーク代理データベースの変更 | |
| NETPROXY_ADD | ネットワーク代理登録ファイルにレコードが追加された。 | |
| NETPROXY_DELETE | ネットワーク代理登録ファイルからレコードが削除された。 | |
| NETPROXY_MODIFY | ネットワーク代理登録ファイル内のレコードが変更された。 | |
| NSA$C_MSG_OBJ_ACCESS | オブジェクト・アクセスの試み | |
| OBJ_ACCESS | オブジェクトを作成,削除,またはアクセス・プロセスのためのアクセスが試みられた。 | |
| NSA$C_MSG_OBJ_CREATE | オブジェクトの作成の試み | |
| OBJ_CREATE | オブジェクトを作成するためのアクセスが試みられた。 | |
| NSA$C_MSG_OBJ_DEACCESS | オブジェクトへのアクセスの取り消し | |
| OBJ_DEACCESS | オブジェクトへのアクセスを終了しようとした。 | |
| NSA$C_MSG_OBJ_DELETE | オブジェクトの削除の試み | |
| OBJ_DELETE | オブジェクトの削除を試みた。 | |
| NSA$C_MSG_PROCESS | システム・サービスによるプロセスの制御 | |
| PRC_CANWAK | プロセスのウェイクアップが取り消された。 | |
| PRC_CREPRC | プロセスが生成された。 | |
| PRC_DELPRC | プロセスが削除された。 | |
| PRC_FORCEX | プロセスが強制終了された。 | |
| PRC_GETJPI | プロセス情報が収集された。 | |
| PRC_GRANTID | プロセス識別子が与えられた。 | |
| PRC_RESUME | プロセスが再開された。 | |
| PRC_REVOKID | プロセス識別子が取り消された。 | |
| PRC_SCHDWK | プロセスのウェイクアップがスケジュールされた。 | |
| PRC_SETPRI | プロセス優先順位が変更された。 | |
| PRC_SIGPRC | プロセス例外が発生した。 | |
| PRC_SUSPND | プロセスが一時停止された。 | |
| PRC_TERM | プロセスの終了通知が要求された。 | |
| PRC_WAKE | プロセスのウェイクアップが要求された。 | |
| NSA$C_MSG_PRVAUD | 特権の使用 | |
| PRVAUD_FAILURE | 特権の使用の失敗 | |
| PRVAUD_SUCCESS | 特権の使用の成功 | |
| NSA$C_MSG_RIGHTSDB | 権利データベースの変更 | |
| RDB_ADD_ID | 権利データベースに識別子が追加された。 | |
| RDB_CREATE | 権利データベースが作成された。 | |
| RDB_GRANT_ID | 識別子がユーザに与えられた。 | |
| RDB_MOD_HOLDER | 識別子保有者リストが変更された。 | |
| RDB_MOD_ID | 識別子名または属性が変更された。 | |
| RDB_REM_ID | 識別子が権利データベースから削除された。 | |
| RDB_REVOKE_ID | 識別子がユーザから取り消された。 | |
| NSA$C_MSG_SYSGEN | System Generationユーティリティ(SYSGEN)の使用 | |
| SYSGEN_SET | システム・パラメータが変更された。 | |
| NSA$C_MSG_SYSTIME | システム時刻の変更 | |
| SYSTIM_SET | システム時刻が設定された。 | |
| SYSTIM_CAL | システム事項が補正された。 | |
| NSA$C_MSG_SYSUAF | システム・ユーザ登録ファイル(SYSUAF)の変更 | |
| SYSUAF_ADD | システム・ユーザ登録ファイルにレコードが追加された。 | |
| SYSUAF_COPY | システム・ユーザ登録ファイルにレコードがコピーされた。 | |
| SYSUAF_DELETE | システム・ユーザ登録ファイルからレコードが削除された。 | |
| SYSUAF_MODIFY | システム・ユーザ登録ファイルのレコードが変更された。 | |
| SYSUAF_RENAME | システム・ユーザ登録ファイルのレコードの名前が変更された。 | |
次の表は,監査イベントに関連するすべてのフラグを説明します。
シンボル NSA$K_MSG_HDR_LENGTH は,メッセージ・ヘッダの現在のサイズ(単位バイト)を定義しています。
| シンボル | 意味 |
|---|---|
| NSA$M_ACL | アラーム・アクセス制御エントリ(ACE)または監査ACEによって作成されたイベント。 |
| NSA$M_ALARM | イベントはセキュリティ・アラームである。 |
| NSA$M_AUDIT | イベントはセキュリティ監査である。 |
| NSA$M_FLUSH | イベントの発生により,監査サーバはバッファに格納されているすべてのイベント・メッセージを監査ログ・ファイルに強制的に書き込んだ。 |
| NSA$M_FOREIGN | システムで管理しているコンピューティング・ベースの外部でイベントが発生した。 |
| NSA$M_MANDATORY | 必須プロセス監査から発生したイベント。 |
 | 注意 他のフラグはすべて,システムが使用するために予約されています。 |
| 目次 | 索引 |
|
||||||||
|
||||||||
