日本-日本語 |
|
|
|
OpenVMS マニュアル |
|
HP OpenVMS
|
目次 | 索引 |
VAXシステムでは,DECnetトランスポート名(NSPを指定することもできます。
#1 |
---|
$ ANALYZE/AUDIT /FULL/SELECT=USERNAME=JOHNSON - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
この例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち,ユーザJOHNSONが作成したすべてのレコードを選択します。
#2 |
---|
$ ANALYZE/AUDIT/FULL/SELECT=PRIVILEGES_USED=(SYSPRV,- _$ BYPASS) SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
この例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち,SYSPRV特権またはBYPASS特権を使用してイベントによって作成されたすべてのレコードを選択します。
#3 |
---|
$ ANALYZE/AUDIT/FULL/EVENT=SYSUAF/SELECT= - _$ IMAGE=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") - _$ SYS$MANAGER:SECURITY |
この例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち,パスワードの変更に関係するすべてのレコードを選択します。
次の例はコマンド・プロシージャであり,夜間に実行することにより,すべてのSYSUAFイベント,AUDITイベント,BREAKINイベント(パスワードの変更を除く)を選択し,結果をシステム管理者にメールとして送信できます。
$! DAILY_AUDIT.COM $ $ mail_list = "SYSTEM" $ audsrv$_noselect = %X003080A0 $ audit_events = "SYSUAF,BREAKIN,AUDIT" $ $ analyze /audit /full - /event=('audit_events') - /output=audit.tmp - /ignore=image=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") - sys$manager:SECURITY.AUDIT$JOURNAL $ $ status = $status $ if (status.and.%XFFFFFFF) .eq. audsrv$_noselect then goto no_records $ if .not. status then goto error_analyze $ if f$file("audit.tmp","eof") .eq. 0 then goto no_records $ mail /subject="''audit_events' listing from ''f$time()'" - audit.tmp 'mail_list' $ goto new_log $ $ no_records: $ mail /subject="No interesting security events" nl: 'mail_list' $ $ new_log: $ if f$search("audit.tmp") .nes. "" then delete audit.tmp;* $ set audit /server=new_log $ rename sys$manager:SECURITY.AUDIT$JOURNAL;-1 - sys$common:[sysmgr]'f$element(0," ",f$edit(f$time(),"TRIM"))' $ exit $ $ error_analyze: $ mail/subj="Error analyzing auditing information" nl: 'mail_list' $ exit
/SINCE |
指定した時刻より後の日付を持つレコードを処理することを指定します。
/SINCE [=時刻]/NOSINCE
キーワード |
時刻
レコード選択時に使用する時刻を指定します。指定した時刻より後の日付を持つレコードが選択されます。絶対時刻とデルタ時間のどちらでも使用できます。また,絶対時刻とデルタ時間を組み合わせることもできます。日付と時刻の構文規則については,『OpenVMS ユーザーズ・マニュアル』を参照してください。/SINCE に時刻を指定しない場合,現在の日時の始まりが使用されます。
#1 |
---|
$ ANALYZE/AUDIT /SINCE=25-NOV-2005 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL |
日付が 2005 年 11 月 25 日より後のレコードを選択するコマンド例です。
#2 |
---|
$ ANALYZE/AUDIT /SINCE=25-NOV-2005:15:00 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL |
2005 年 11 月 25 日午後 3 時より後に書き込まれたレコードを選択するコマンド例です。
/SUMMARY |
選択したすべてのレコードの処理の終了後,要約を出力することを指定します。/SUMMARY 修飾子の処理は,Audit Analyzer が終了した後,つまり,分析対象のすべてのレコードの収集と処理を終えた後に実行される点に注意してください。 /INTERACTIVE 修飾子を指定したときには (この修飾子は省略時の設定です),他のコマンド (新しいレコード・セットを分析することになる) を入力するように繰り返し促されるため,Audit Analyzer はいつまでたっても終了状態になりません。
/SUMMARY 修飾子を使用するには,同時に /NOINTERACTIVE も指定して, Audit Analyzer が確実に終了状態になるようにします。これにより,SUMMARY 処理が実行されて,正しい情報が表示されるようになります。 OpenVMS の将来のバージョンでは,/SUMMARY と /INTERACTIVE を同時に指定すると,Audit Analyzer がエラーを戻すようになります。
/SUMMARY 修飾子は単独でも使用できますが,/BRIEF,/BINARY,/FULL 修飾子と組み合わせることもできます。
/SUMMARY =プレゼンテーション/NOSUMMARY
キーワード |
プレゼンテーション
要約のプレゼンテーションを指定します。プレゼンテーション基準を指定しない場合,監査回数が出力されます。次のいずれかのプレゼンテーションを指定できます。
COUNT
セキュリティ監査ログ・ファイルから抽出した監査メッセージの数を,セキュリティ・イベント・クラスごとにリストします。これは省略時の設定です。PLOT
監査イベントのクラス,監査を実行した時刻,監査を実行したシステムの名前を示すプロットを表示します。
#1 |
---|
$ ANALYZE/AUDIT/SUMMARY SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
この例では,処理されたすべてのレコードの要約レポートが作成されます。
Total records read: 9701 Records selected: 9701 Record buffer size: 1031 Successful logins: 542 Object creates: 1278 Successful logouts: 531 Object accesses: 3761 Login failures: 35 Object deaccesses: 2901 Breakin attempts: 2 Object deletes: 301 System UAF changes: 10 Volume (dis)mounts: 50 Rights db changes: 8 System time changes: 0 Netproxy changes: 5 Server messages: 0 Audit changes: 7 Connections: 0 Installed db changes: 50 Process control audits: 0 Sysgen changes: 9 Privilege audits: 91 NCP command lines: 120
#2 |
---|
$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY- _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
この例では,侵入クラスまたはログ失敗イベント・クラスに対応するすべての記録された監査メッセージの詳細な形式の一覧が作成されます。リストの最後に要約レポートも出力されます。
#3 |
---|
$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY=PLOT - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
このコマンドで作成されるヒストグラムはキャラクタ・セル・ターミナルに表示できます。
4.4 ANALYZE/AUDIT のコマンド
ANALYZE/AUDIT ユーティリティは,省略時の設定では会話形式で実行します。会話形式を禁止するには,ANALYZE/AUDIT コマンドに /NOINTERACTIVE 修飾子を付けます。詳細形式と簡略形式のいずれの会話型表示でも,Ctrl/C を押すことによって,いつでも会話型コマンドを入力できます。次のコマンドはすべて,COMMAND> プロンプトに入力できます。イベント・レコード処理を再開するには,CONTINUE コマンドを使用します。セッションを終了するには,EXIT コマンドを使用します。
CONTINUE
イベント・レコードの処理を再開します。
CONTINUE
なし。
なし。
#1 |
---|
COMMAND> DISPLAY/SINCE=25-JAN-2005/SELECT=USERNAME=JOHNSON COMMAND> CONTINUE |
最初のコマンドは,2005 年 1 月 25 日より後にユーザ JOHNSON が作成したイベント・レコードだけを選択しています。次のコマンドは,別の選択基準に従ってレポートを表示しています。
DISPLAY |
イベント・レコード選択基準を変更します。
DISPLAY
なし。
次の修飾子の詳細については,前述の ANALYZE/AUDIT の修飾子の項を参照してください。
/BEFORE=時刻
指定した時刻より前の日付を持つレコードだけを選択するかどうかを制御します。/BRIEF
簡略 (1 つのレコードにつき 1 行) 形式を ASCII 表示で使用するかどうかを制御します。/EVENT_TYPE=イベント・タイプ[,...]
指定したイベント・タイプに属するレコードだけを選択するかどうかを制御します。/FULL
ASCII 表示において,各レコードに詳細形式を使用するかどうかを制御します。/IGNORE=基準[,...]
指定した基準を満たすレコードを除外するかどうかを制御します。/IGNORE を複数回指定すれば,複数の基準を指定できます。別の除外基準を指定するには,/IGNORE 修飾子と /REMOVE 修飾子を併用できます。/PAUSE=秒数
詳細形式表示 (/FULL) において,各レコードを表示する時間の長さを指定します。/REMOVE
/IGNORE と /SELECT の修飾子で指定した基準を,イベント・レコード選択基準として使用しないようにするかどうかを制御します。/SELECT=基準[,...]
指定した基準を満たすレコードだけを選択するかどうかを制御します。/SELECT を複数回指定すれば,複数の基準を指定できます。別の選択基準を指定するには,/SELECT 修飾子と /REMOVE 修飾子を併用します。/SINCE[=時刻]
指定した時刻より後の日付を持つレコードだけを選択するかどうかを制御します。
#1 |
---|
COMMAND> DISPLAY/EVENT_TYPE=SYSUAF COMMAND> CONTINUE |
最初のコマンドは,システム・ユーザ登録ファイル (SYSUAF) を変更した結果作成されたレコードを選択しています。次のコマンドは,選択したレコードを表示しています。
#2 |
---|
COMMAND> DISPLAY/SELECT=USERNAME=CRICK COMMAND> CONTINUE . . . [Ctrl/C] COMMAND> DISPLAY/SELECT=USERNAME=WATSON COMMAND> CONTINUE |
最初の DISPLAY コマンドは,ユーザ CRICK が作成したレコードを選択しています。次のコマンドは,選択したレコードを表示しています。 2 番目の DISPLAY コマンドは,ユーザ WATSON が作成したレコードを選択しています。最後のコマンドは,ユーザ CRICK と WATSON が作成したすべてのレコードを表示しています。
EXIT |
セッションを終了します。
EXIT
なし。
なし。
HELP |
ANALYZE/AUDIT コマンドの使い方に関するヘルプ情報をオンラインで出力します。
HELP [項目]
項目
どのコマンドのヘルプ情報を表示するかを指定します。キーワードを省略すると,ヘルプ項目リストが表示されるので,キーワードを入力してください。
なし。
#1 |
---|
COMMAND> HELP DISPLAY |
DISPLAY コマンドのヘルプ情報を表示するコマンド例です。
LIST |
イベント・レコード選択基準を変更します。このコマンドは,DISPLAY コマンドと同じです。
LIST
なし。
DISPLAY コマンドの説明を参照してください。
#1 |
---|
COMMAND> LIST/EVENT_TYPE=SYSUAF COMMAND> CONTINUE |
最初のコマンドは,システム・ユーザ登録ファイル (SYSUAF) を変更した結果作成されたレコードを選択しています。次のコマンドは,選択したレコードを表示しています。
NEXT FILE |
現在のセキュリティ監査ログ・ファイルをクローズして次のログ・ファイルをオープンするかどうかを制御します。このコマンドは,*.AUDIT$JOURNAL のように,ANALYZE/AUDIT コマンドでワイルドカード・ファイル指定を行うときに便利です。別の監査ログ・ファイルをオープンしない場合,監査分析セッションは終了し,制御は DCL に戻ります。
NEXT FILE
なし。
なし。
NEXT RECORD |
次の監査レコードを表示するかどうかを制御します。 NEXT RECORD コマンドは,対話形式モードの省略時の設定です。このコマンドは,POSITION コマンドと同じです。
NEXT RECORD
なし。
なし。
POSITION |
詳細形式表示を,指定した数のイベント・レコード分だけ前方または後方に移動します。
POSITION 数
数
正の数を指定すると,現在のレコードより指定した数だけ後方にあるレコードが表示されます。負の数を指定すると,現在のレコードより指定した数だけ前方にあるレコードが表示されます。
なし。
#1 |
---|
COMMAND> POSITION 100 |
100 個のイベント・レコード分だけ,表示を前方に移動するコマンド例です。
#2 |
---|
COMMAND> POSITION -100 |
100 個のイベント・レコード分だけ,表示を後方に移動するコマンド例です。
SHOW |
イベント・レコードの選択に現在使用されている選択または除外の基準に関する情報を表示します。
SHOW オプション[,...]
オプション[,...]
レコードの選択に現在使用されている選択または除外の基準に関する情報を表示します。
ALL イベント・レコードの選択に使用されているすべての基準を表示する。 EXCLUSION_CRITERIA イベント・レコードの除外に使用されている基準を表示する。 SELECTION_CRITERIA イベント・レコードの選択に使用されている基準を表示する。
なし。
#1 |
---|
COMMAND> SHOW SELECTION_CRITERIA |
レコードの選択に現在使用されている選択基準を表示するコマンド例です。
目次 | 索引 |
|