この付録では,各種システム・イベントを監査した結果通知されるアラーム・メッセージについて説明します。
監査システムの説明については,
第10章 「セキュリティ監査の実施」を参照してください。
監査メッセージのレコード形式の説明については,『OpenVMS システム管理ユーティリティ・リファレンス・マニュアル』を参照してください。
アラーム・メッセージに含まれる情報は,イベントの種類によって異なります。
どの場合でも,アラーム・メッセージには,Operator Communication Manager (OPCOM) のヘッダが含まれます。
このヘッダには,アラーム・メッセージが送信された日時が記録されています。
さらに,アラーム・メッセージには,アラーム・イベントの種類,アラーム・イベントが発生した日時,およびイベントを発生させたユーザ (ユーザ名と PID (プロセス識別) によって識別) が含まれています。
その他に,アラームが示すイベントの種類に固有の情報が含まれています。
オブジェクト・アクセスを通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード ACCESS を加えて指定することで,保護オブジェクトに対する正常アクセスとアクセスの失敗を監査できます。
オブジェクト・タイプは /CLASS 修飾子を使用して指定します。
オブジェクト監査の説明については,
4.7 項 「保護オブジェクトの監査」「保護オブジェクトの監査」を参照してください。
次に例を示します。
%%%%%%%%%%% OPCOM 17-SEP-2001 10:13:20.46 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) on FNORD, system id: 19728
Auditable event: Object access
Event time: 17-SEP-2001 10:13:20.09
PID: 30200117
Process name: Hobbit
Username: GREG
Process owner: [MTI,GREG]
Terminal name: RTA1:
Image name: DSA1:[GREG.TEST.ACCESS]ACCESS.EXE;50
Object class name: COMMON_EVENT_CLUSTER
Object name: FOO
Access requested: READ
Deaccess key: 808E3380
Status: %SYSTEM-S-NORMAL, normal successful completion
Privileges used: none
|
また,GRPPRV,READALL,SYSPRV,BYPASS のいずれかの特権を使用して,アクセスについての監査を行うこともできます。
ACL によって要求されるアラーム
オブジェクトの ACL にアラーム用 ACE または監査用 ACE を追加し,SET AUDIT コマンドの /ENABLE 修飾子にキーワード ACL を加えて指定して ACL イベントを有効にすることで,個々の保護オブジェクトに対する正常アクセスとアクセスの失敗を監査できます。
次に例を示します。
%%%%%%%%%%% OPCOM 12-NOV-2001 10:53:16.34 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) and security audit (SECURITY) on FNORD, system id: 19681
Auditable event: Object deletion
Event information: file deletion request (IO$_DELETE)
Event time: 12-NOV-2001 10:53:16.30
PID: 20200158
Process name: FNORD$RTA2
Username: HUBERT
Process owner: [LEGAL,HUBERT]
Terminal name: RTA2:
Image name: $1$DIA1:[SYS0.SYSCOMMON.][SYSEXE]DELETE.EXE
Object class name: FILE
Object owner: [SYSTEM]
Object protection: SYSTEM:RWE, OWNER:RWE, GROUP:, WORLD:
File name: _$1$DIA3:[USERS.HUBERT.TMP]FOO.BAR;2
File ID: (4134,20,0)
Access requested: DELETE
Sequence key: 0005E05F
Status: %SYSTEM-F-NOPRIV, insufficient privilege or object
protection violation
|
登録データベースの変更に起因するアラーム
セキュリティ・イベントの Authorization クラスは,デフォルトで有効になっています。
ライト・データベース,システム・ユーザ登録ファイル,およびネットワーク代理登録ファイルに変更が加えられると,直ちに監査イベント・メッセージが生成されます。
ライト・データベースの変更は,新規データベースの作成,または識別子の追加,変更,削除などの操作によって生じます。
監査サーバは,ユーザの識別子に変更があった場合にも報告を行います。
アラーム・メッセージは,ライト・データベースの変更に使用されたイメージおよび変更の内容を示します。
次に例を示します。
%%%%%%%%%%% OPCOM 15-DEC-2001 12:27:17.44 %%%%%%%%%%%
Message from user AUDIT$SERVER on LASSIE
Security alarm (SECURITY) and security audit (SECURITY) on LASSIE, system id: 19661
Auditable event: Identifier modified
Event time: 15-DEC-2001 12:27:17.43
PID: 00000113
Username: SYSTEM
Image name: LASSIE$DMA0:[SYS0.SYSCOMMON.][SYSEXE]AUTHORIZE.EXE
Identifier name: ROBINSON
Identifier value: %X80010014 New attributes: RESOURCE
|
システム・ユーザ登録ファイルまたはネットワーク・ユーザ登録ファイルに加えられた変更を報告するとき,監査サーバは,変更されたレコードと変更内容を含め,あらゆる変更点についても通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 18-DEC-2001 19:53:25.99 %%%%%%%%%%%
Message from user AUDIT$SERVER on LASSIE
Security alarm (SECURITY) and security audit (SECURITY) on LASSIE, system id: 19611
Auditable event: System UAF record addition
Event time: 18-DEC-2001 19:53:25.98
PID: 20200B25
Username: SYSTEM
Image name: $1$DUS0:[SYS0.SYSCOMMON.][SYSEXE]AUTHORIZE.EXE
Object name: SYS$COMMON:[SYSEXE]SYSUAF.DAT;2
Object type: file
User record added: COOPER
Fields modified: FLAGS,PWDLIFETIME
|
次のアラーム・メッセージは,パスワードの変更によって生成されたアラームの例です。
%%%%%%%%%%% OPCOM 26-SEP-2001 15:12:35.95 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) and security audit (SECURITY) on FNORD, system id:
20300
Auditable event: System UAF record modification
Event time: 26-SEP-2001 15:12:35.92
PID: 52C00119
Process name: Hobbit
Username: GREG
Process owner: [RTB,GREG]
Terminal name: RTA2:
Image name: $99$DUA0:[SYS0.SYSCOMMON.][SYSEXE]AUTHORIZE.EXE
Object name: CLU$COMMON:<SYSEXE>SYSUAF.DAT;1
Object type: file
User record: GREG
Password: New: 7C5E4DA2 F19176AF
Original: 7C5E4DA2 F19176AF
Password date: New: 0 00:00:00.00
Original: 26-SEP-2001 15:12
|
侵入行為を通知するアラーム
侵入行為は,オペレーティング・システムがデフォルトで監査します。
ダイアルアップ,ローカル,リモート,ネットワーク,および独立プロセスからの侵入行為を監査します。
侵入行為に使用されたパスワードは,セキュリティ・オペレータのターミナルには表示されませんが,セキュリティ監査ログ・ファイルには記録されるため,監査分析ユーティリティで表示できます。
このタイプのアラームは,侵入行為の種類,デバイス・ユーザ,侵入元 (侵入の種類がリモートかネットワークの場合),および親ユーザ名 (侵入の種類が独立プロセスによる場合) を通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 7-DEC-2001 14:33:20.69 %%%%%%%%%%%
Message from user AUDIT$SERVER on LASSIE
Security alarm (SECURITY) on LASSIE, system id: 19611
Auditable event: Dialup interactive breakin detection
Event time: 7-DEC-2001 14:33:20.68
PID: 00000052
Username: SNIDELY
Terminal name: _LTA13: (AV47C1/LC-2-10)
|
オブジェクトの作成を通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード CREATE を加えて指定することで,オブジェクトの作成を監査できます。
このタイプのアラームは,オブジェクトのクラスと名前を通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 17-SEP-2001 10:13:20.29 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) on FNORD, system id: 19728
Auditable event: Object creation
Event time: 17-SEP-2001 10:13:20.01
PID: 30200117
Process name: Hobbit
Username: HUBERT
Process owner: [SST,HUBERT]
Terminal name: RTA1:
Image name: DSA1:[HUBERT.TEST.ACCESS]ACCESS.EXE;50
Object class name: COMMON_EVENT_CLUSTER
Object name: FOO
Status: %SYSTEM-S-NORMAL, normal successful completion
|
オブジェクトのアクセス解除を通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード DEACCESS を加えて指定することで,オブジェクトからのプロセスのアクセス解除を監査できます。
このタイプのアラームは,オブジェクトのクラスを通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 17-SEP-2001 10:13:38.34 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) on FNORD, system id: 19728
Auditable event: Object deaccess
Event time: 17-SEP-2001 10:13:38.31
PID: 30200117
Object class name: COMMON_EVENT_CLUSTER
Deaccess key: 808E3380
|
オブジェクトの削除を通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード DELETE を加えて指定することで,オブジェクトの削除を監査することができます。
このタイプのアラームは,オブジェクトのクラスと名前を通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 17-SEP-2001 10:13:36.17 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) on FNORD, system id: 19728
Auditable event: Object access
Event time: 17-SEP-2001 10:13:36.08
PID: 30200117
Process name: Hobbit
Username: HUBERT
Process owner: [MTI,HUBERT]
Terminal name: RTA1:
Image name: DSA1:[HUBERT.TEST.ACCESS]ACCESS.EXE;50
Object class name: COMMON_EVENT_CLUSTER
Object name: FOO
Access requested: DELETE
Status: %SYSTEM-S-NORMAL, normal successful completion
Privileges used: none
|
インストール・ユーティリティの使用を通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード INSTALL を指定することで,(イメージのインストールまたはインストール済みイメージの削除のための) インストール・ユーティリティの使用を監査できます。
インストール・アラームは,操作の種類,その操作に影響を受けるイメージの名前,インストール操作によって設定されたフラグ,および使用された特権を通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 7-DEC-2001 12:37:49.69 %%%%%%%%%%%
Message from user AUDIT$SERVER on LASSIE
Security alarm (SECURITY) on LASSIE, system id: 19661
Auditable event: Installed file addition
Event time: 7-DEC-2001 12:37:49.68
PID: 00000113
Username: SYSTEM
Object name: LASSIE$DMA0:[SYS0.SYSCOMMON.][SYSEXE]NCP.EXE;1
Object type: file
INSTALL flags: /OPEN/HEADER_RESIDENT/SHARED
|
ログインを通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード LOGIN を加えて指定することで,正常なログインを監査できます。
バッチ,ダイアルアップ,ローカル,リモート,ネットワーク,サブプロセス,および独立プロセスによるログイン・クラスを監査できます。
このタイプのアラームは,ログイン・クラス,使用デバイス,ログイン元 (リモートまたはネットワークの場合),親 PID (サブプロセスの場合),および親ユーザ名 (独立プロセスの場合) を通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 18-DEC-2001 18:49:40.09 %%%%%%%%%%%
Message from user AUDIT$SERVER on LASSIE
Security alarm (SECURITY) on LASSIE, system id: 19611
Auditable event: Batch process login
Event time: 18-DEC-2001 18:49:40.08
PID: 20002001
Username: LEWIS
|
ログインの失敗を通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード LOGFAILURE を加えて指定することで,ログインの失敗を監査できます。
バッチ,ダイアルアップ,ローカル,リモート,ネットワーク,サブプロセス,および独立プロセスによるログイン失敗クラスを監査できます。
このタイプのアラームは,ログイン・クラス,使用デバイス,失敗理由の詳細を示すステータス・メッセージ,ログイン元 (リモートまたはネットワークの場合),親 PID (サブプロセスの場合),および親ユーザ名 (独立プロセスの場合) を通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 7-DEC-2001 12:48:43.50 %%%%%%%%%%%
Message from user AUDIT$SERVER on LASSIE
Security alarm (SECURITY) on LASSIE, system id: 19611
Auditable event: Network login failure
Event time: 7-DEC-2001 12:48:43.49
PID: 0000011D
Username: DECNET
Remote nodename: TIGER Remote node id: 3218
Remote username: PROBER
Status: %LOGIN-F-INVPWD, invalid password
|
ログアウトを通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード LOGOUT を加えて指定することで,ログアウトを監査できます。
バッチ,ダイアルアップ,ローカル,リモート,ネットワーク,サブプロセス,および独立プロセスによるログアウト・クラスを監査できます。
このタイプのアラームは,ログアウト・クラス,使用デバイス,ログイン元 (リモートまたはネットワークの場合),および親 PID (サブプロセスの場合) を通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 18-DEC-2001 19:14:22.03 %%%%%%%%%%%
Message from user AUDIT$SERVER on LASSIE
Security alarm (SECURITY) on LASSIE, system id: 19611
Auditable event: Dialup interactive logout
Event time: 18-DEC-2001 19:14:22.02
PID: 20200001
Username: DANCER
Terminal name: _TTA1:
|
ボリュームのマウントおよびディスマウントを通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード MOUNT を加えて指定することで,マウント要求またはディスマウント要求を監査できます。
このタイプのアラームは,ボリュームのマウントまたはディスマウントに使用されたイメージの名前,使用デバイス,操作を記録しているログ・ファイル,ボリューム名,ボリュームの UIC と保護コード,および操作時に設定されたフラグを通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 18-DEC-2001 17:43:26.94 %%%%%%%%%%%
Message from user AUDIT$SERVER on CANINE
Security alarm (SECURITY) on CANINE, system id: 19681
Auditable event: Volume mount
Event time: 18-DEC-2001 17:43:26.04
PID: 00000038
Username: HOBBIT
Image name: CANINE$DUA0:[SYS0.SYSCOMMON.][SYSEXE]VMOUNT.EXE;1
Object name: _CANINE$MUA0:
Object type: device
Object owner: [DEVO,HOBBIT]
Object protection: SYSTEM:RWEDC, OWNER:RWEDC, GROUP:RWEDC, WORLD:RWEDC
Logical name: TAPE$DBACK1
Volume name: DBACK1
Mount flags: /OVERRIDE=IDENT/MESSAGE
|
ネットワーク接続を通知するアラーム
VAX システムでは,DECnet for OpenVMS を利用して接続が確立されている場合に,ネットワーク内の他のノードとの論理リンクの作成と終了を監査できます。
このタイプの監査を行うには,SET AUDIT コマンドの /ENABLE 修飾子にキーワード CONNECTION を加えて指定します。
次に例を示します。
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) on FNORD, system id: 19681
Auditable event: DECnet logical link deleted
Event time: 12-NOV-2001 10:54:25.01
PID: 202002EB
Process name: FAL_16729
Username: HUBERT_N
Process owner: [ACCOUNTS,HUBERT]
Image name: $1$DIA1:[SYS0.SYSCOMMON.][SYSEXE]FAL.EXE
Remote nodename: JPT
Remote node id: 19.130
Remote username: HUBERT
DECnet logical link ID: 16729
DECnet object name: FAL
DECnet object number: 17
Remote logical link ID: 35429
Status: %SYSTEM-S-NORMAL, normal successful completion
|
プロセス制御システム・サービスの使用を通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード PROCESS を加えて指定することで,$CREPRC や $GETJPI などのプロセス制御システム・サービスを監査できます。
このタイプのアラームは,プロセスの制御に使用されたシステム・サービス,使用デバイス,プロセス名,およびプロセスのユーザ名を通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 25-JUL-2001 16:07:09.20 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) on FNORD, system id: 20300
Auditable event: Process suspended ($SUSPND)
Event time: 25-JUL-2001 16:07:08.77
PID: 30C00119
Process name: Hobbit
Username: HUBERT
Process owner: [LEGAL,HUBERT]
Terminal name: RTA1:
Image name: $99$DUA0:[SYS0.SYSCOMMON.][SYSEXE]SET.EXE
Status: %SYSTEM-S-NORMAL, normal successful completion
Target PID: 30C00126
Target process name: SMISERVER
Target username: SYSTEM
Target process owner: [SYSTEM]
|
特権の使用を通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード PRIVILEGE を加えて指定することで,特権の使用を監査できます。
このアラームは,使用された特権と使用目的を通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 17-SEP-2001 10:13:20.16 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) on FNORD, system id: 19728
Auditable event: Privilege used
Event information: PRMCEB used to create permanent common event flag
cluster ($ASCEFC)
Event time: 17-SEP-2001 10:13:20.01
PID: 30200117
Process name: Hobbit
Username: HUBERT
Process owner: [MTI,HUBERT]
Terminal name: RTA1:
Image name: DSA1:[HUBERT.TEST.ACCESS]ACCESS.EXE;50
Event flag cluster name: FOO
Privileges used: PRMCEB
|
システム・パラメータの変更を通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子にキーワード SYSGEN を加えて指定することで,システム・パラメータの変更を監査できます。
このタイプのアラームは,現在処理中のパラメータとディスクに保存されているパラメータの両方について通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 25-JUL-2001 16:09:04.67 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) on FNORD, system id: 20300
Auditable event: SYSGEN parameter set
Event time: 25-JUL-2001 16:09:04.65
PID: 30C00119
Process name: Hobbit
Username: HUBERT
Process owner: [LEGAL,HUBERT]
Terminal name: RTA1:
Image name: $99$DUA0:[SYS0.SYSCOMMON.][SYSEXE]SYSGEN.EXE
Parameters write: SYS$SYSROOT:[SYSEXE]VAXVMSSYS.PAR;68
Parameters inuse: SYS$SYSROOT:[SYSEXE]VAXVMSSYS.PAR;68
NSA_PAGES: New: 15
Original: 10
|
システム時間の変更を通知するアラーム
SET AUDIT コマンドの /ENABLE 修飾子に TIME を加えて指定することで,システム時間の変更を監査できます。
このタイプのアラームは,変更前と変更後のシステム時間,変更を行ったユーザの名前,および使用デバイスについて通知します。
次に例を示します。
%%%%%%%%%%% OPCOM 25-JUL-2001 16:08:25.23 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) on FNORD, system id: 20300
Auditable event: System time recalibrated
Event time: 25-JUL-2001 16:08:25.21
PID: 30C00119
Process name: Hobbit
Username: HUBERT
Process owner: [LEGAL,HUBERT]
Terminal name: RTA1:
Image name: $99$DUA0:[SYS0.SYSCOMMON.][SYSEXE]SET.EXE
New system time: 25-JUL-2001 16:08:25.19
Old system time: 25-JUL-2001 16:08:25.18
|
SET AUDIT コマンドの実行を通知するアラーム
SET AUDIT の使用はすべて自動的に監査されます。
この監査を無効にすることはできません。
次のアラーム・メッセージは,SET AUDIT アラームの例です。
%%%%%%%%%%% OPCOM 12-NOV-2001 10:54:11.91 %%%%%%%%%%%
Message from user AUDIT$SERVER on FNORD
Security alarm (SECURITY) and security audit (SECURITY) on FNORD, system id: 19681
Auditable event: Security alarm state set
Event time: 12-NOV-2001 10:54:11.58
PID: 20200158
Alarm flags: ACL,AUTHORIZATION,CONNECTION
BREAKIN: (DIALUP,LOCAL,REMOTE,NETWORK,DETACHED)
LOGFAIL: (BATCH,DIALUP,LOCAL,REMOTE,NETWORK,
SUBPROCESS,DETACHED)
|
