|
|
|
日本-日本語 | |
|
|
|
|
OpenVMS マニュアル |
|
|
HP OpenVMS
|
| 目次 | 索引 |
第 4 章
監査分析ユーティリティ (ANALYZE/AUDIT)4.1 ANALYZE/AUDITについて
監査分析ユーティリティ (ANALYZE/AUDIT) は,セキュリティ監査ログ・ファイルをもとに,システム管理者やセキュリティ管理担当者がレポートを作成するときに使用するシステム管理ツールです。
OpenVMS オペレーティング・システムでは,登録データベースの変更や SET AUDIT コマンドの使用などの特定のイベントが自動的に監査されます。必要に応じて,ほかの形式のレポートを作成することができます。しかし,監査ログ・ファイルを定期的に検討するプロシージャを開発し実施しないかぎり,セキュリティ監査メッセージは有効になりません。ANALYZE/AUDIT は,セキュリティ監査ログ・ファイルやセキュリティ・アーカイブ・ファイルのデータを検討するときに使用します。
ANALYZE/AUDIT コマンドでは,セキュリティ監査ログ・ファイルから抽出する情報のタイプを修飾子で指定できます。また,各種形式の監査レポートを,ファイルとターミナルのどちらにも出力できます。
セキュリティ監査ファイルに書き込まれる監査メッセージの形式についての説明は, 付録 F を参照してください。
バージョンが混在しているクラスタでは,監査ログ・ファイルにいくつかの異なるバージョンのオペレーティング・システムを実行しているシステムのエントリが書き込まれることになります。ログ・ファイルを分析するには,バージョン 6.1 以降を実行しているノードから監査分析ユーティリティ (ANALYZE/AUDIT) を起動する必要があります。
監査メッセージ・レコードの生成方法および ANALYZE/AUDIT の使用法については,『OpenVMS システム・セキュリティ・ガイド』を参照してください。
4.2 ANALYZE/AUDIT 使用法の要約
Audit Analysis ユーティリティ (ANALYZE/AUDIT) は,セキュリティ監査ログ・ファイル内のイベント・メッセージを処理し,システム上のセキュリティ関連イベントのレポートを出力します。
ANALYZE/AUDIT [ファイル指定[,...]]
ファイル指定[,...]
1 つ以上のセキュリティ監査ログ・ファイルを,ANALYZE/AUDIT への入力として指定します。複数のファイル名を指定する場合,コンマでファイル名を区切ります。ファイル指定 パラメータを省略すると,ANALYZE/AUDIT ユーティリティは,省略時の監査ログ・ファイル SECURITY.AUDIT$JOURNAL を検索します。
省略時の監査ログ・ファイルは,SYS$COMMON:[SYSMGR] ディレクトリに作成されます。このファイルを使用するには,ANALYZE/AUDIT のコマンド行に SYS$MANAGER を指定します。ディレクトリを指定しない場合,ANALYZE/AUDIT ユーティリティは,現在のディレクトリでファイルを検索します。
ファイル指定には,アスタリスク (*) やパーセント記号 (%) などのワイルドカード文字を使用できます。
監査ログ・ファイルは,どのディレクトリにも格納できます。現在の記憶位置を表示するには,DCL の SET AUDIT/ALL コマンドを使用します。
DCL の ANALYZE/AUDIT コマンドは,セキュリティ監査ログ・ファイルやセキュリティ・アーカイブ・ファイルの分析に使用します。次のように, 1 つ以上のログ・ファイル名をコマンド行に指定できます。
ANALYZE/AUDIT コマンドでは,セキュリティ・アーカイブ・ファイルやバイナリ・ファイル (以前に実行した ANALYZE/AUDIT コマンドで作成したもの) からセキュリティ・イベント・メッセージを抽出することもできます。
ANALYZE/AUDIT 要求は,ログ・ファイルの処理が終了するまで実行し続けます。 Ctrl/C を押してコマンド・モードを起動すれば,処理を中断して,表示を変更したりレポート内の位置を変えたりできます。実行中の ANALYZE/AUDIT 要求を終了するには,Ctrl/Z を押します。
/OUTPUT 修飾子の引数としてファイル指定を指定すれば,ANALYZE/AUDIT の実行結果をターミナル・デバイスやディスクまたはテープ・ファイルに出力できます。省略時の出力先は,SYS$OUTPUT です。
ANALYZE/AUDIT 要求を使用する場合,コマンド行に指定するファイルへのアクセス権だけが必要です。
| 4.3 ANALYZE/AUDIT の修飾子 | |
この項では,ANALYZE/AUDIT とその修飾子について,例を挙げて説明します。次の表は,ANALYZE/AUDIT 修飾子の一覧です。
| 修飾子 | 説明 |
|---|---|
| /BEFORE | 指定した時刻より前の日付を持つレコードを選択するかどうかを制御する。 |
| /BINARY | 出力をバイナリ・ファイルにするかどうかを制御する。 |
| /BRIEF | ASCII 表示で 1 行だけの簡略レコード形式を使用するかどうかを制御する。 |
| /EVENT_TYPE | セキュリティ・ログ・ファイルから抽出するイベントのクラスを選択する。 |
| /FULL | ASCII 表示で詳細形式を使用するかどうかを制御する。 |
| /IGNORE | 指定した基準を満たすレコードをレポートから除外する。 |
| /INTERACTIVE | ANALYZE/AUDIT ユーティリティ起動時に会話型コマンド・モードを許可するかどうかを制御する。 |
| /OUTPUT | ANALYZE/AUDIT ユーティリティの出力先を指定する。 |
| /PAUSE | 詳細形式表示で各レコードを表示する時刻の長さを指定する。 |
| /SELECT | レコード選択基準を指定する。 |
| /SINCE | 指定した時刻以降の日付を持つレコードを処理対象とすることを指定する。 |
| /SUMMARY | すべてのレコード処理後,選択したレコードの要約を出力することを指定する。 |
指定した時刻より前の日付を持つレコードを選択するかどうかを制御します。
/BEFORE [=時刻]/NOBEFORE
キーワード |
|
時刻
レコード選択に使用する時刻を指定します。指定した時刻より前の日付を持つレコードを選択します。絶対時刻とデルタ時間のどちらでも指定できます。また,絶対時刻とデルタ時間を組み合わせることもできます。日付と時刻の構文規則については,『OpenVMS ユーザーズ・マニュアル』を参照してください。
省略時の設定では,セキュリティ監査ログ・ファイル内のすべてのレコードが処理対象となります。特定の時刻より後に作成したレコードを除外するには,/BEFORE を指定します。
| #1 |
|---|
$ ANALYZE/AUDIT /BEFORE=25-NOV-2005 - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
日付が 2005 年 11 月 25 日より前のすべてのレコードを選択するコマンド例です。
| #2 |
|---|
$ ANALYZE/AUDIT /BEFORE=14:00/SINCE=12:00 - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
今日の正午から午後2時までの間に作成されたすべてのレコードを選択するコマンド例です。
| /BINARY | |
出力をバイナリ・ファイルにするかどうかを制御します。
/BINARY/NOBINARY
キーワード |
|
なし。
/BINARY を指定すると,/OUTPUT 修飾子で指定した出力ファイルに,入力レコードのイメージ・コピーが格納されます。/NOBINARY を指定した場合,または /BINARY も /NOBINARY も指定しない場合には, ASCII レコードが出力ファイルに格納されます。/BINARYを指定し,/OUTPUT修飾子を指定しなかったときは,省略時の設定により, AUDIT.AUDIT$JOURNALという名前の出力ファイルが作成されます。
/BINARY,/BRIEF,/FULL 修飾子と併用することはできません。
| #1 |
|---|
$ ANALYZE/AUDIT /BINARY/SINCE=TODAY/OUTPUT=25OCT05.AUDIT - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL |
本日作成したすべての監査レコードを選択し,バイナリ形式で 25OCT05.AUDIT に書き込むコマンド例です。
| /BRIEF | |
ASCII 表示で 1 行だけの簡略レコード形式を使用するかどうかを制御します。
/BRIEF (省略時の設定)
キーワード |
|
なし。
省略時の設定では,レコードは簡略形式で表示されます。選択した監査イベント・レコードそれぞれについて詳細に出力するには,/FULL を指定しなければなりません。/BINARY,/BRIEF,/FULL 修飾子と併用することはできません。
| #1 |
|---|
$ ANALYZE/AUDIT /OUTPUT=AUDIT.LIS - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL |
省略時の簡略形式で ASCII ファイルを出力するコマンド例です。出力されたレポートは,AUDIT.LIS ファイルに書き込まれます。
| /EVENT_TYPE | |
セキュリティ・ログ・ファイルから抽出するイベントのクラスを選択します。この修飾子を指定しなかった場合や,ALLキーワードを指定した場合には,許可されているすべてのイベント・クラスがレポートに報告されます。
/EVENT_TYPE=(イベント・タイプ[,...])
キーワード |
|
イベント・タイプ[,...]
レコードを選択するために使用するイベントのクラスを指定します。次のイベント・タイプを指定できます。
[NO]ACCESS ファイルなどのオブジェクトへのアクセス [NO]ALL すべてのイベント・タイプ [NO]AUDIT SET AUDITコマンドの使用 [NO]AUTHORIZATION 登録データベース(SYSUAF.DAT, RIGHTSLIST.DAT,NETPROXY.DAT,または NET$PROXY)の変更 [NO]BREAKIN 侵入の検出 [NO]CONNECTION System Managementユーティリティ(SYSMAN), DECwindows,プロセス間通信(IPC)ソフトウェアのいずれかによるネットワーク接続の確立 [NO]CREATE オブジェクトの作成 [NO]DEACCESS オブジェクトへのアクセスの終了 [NO]DELETE オブジェクトの削除 [NO]INSTALL Installユーティリティ(INSTALL)による既知ファイル・リストの変更 [NO]LOGFAIL ログインの失敗 [NO]LOGIN ログインの成功 [NO]LOGOUT ログアウトの成功 [NO]MOUNT DCLのMOUNTコマンドまたはDISMOUNTコマンドの実行 [NO]NCP DECnetネットワーク構成データベースの変更 [NO]NETPROXY ネットワーク代理登録ファイル (NETPROXY.DAT または NET$PROXY.DAT)の変更 [NO]PRIVILEGE 特権の監査 [NO]PROCESS 1つ以上のプロセス制御システム・サービスの使用: $CREPRC,$DELPRC,$SCHDWK,$CANWAK,
$WAKE,$SUSPND,$RESUME,$GRANTID,
$REVOKID,$GETJPI,$FORCEX,$SETPRI[NO]RIGHTSDB 権利データベース(RIGHTSLIST.DAT)の変更 [NO]SYSGEN System Generationユーティリティ(SYSGEN) または AUTOGEN によるシステム・パラメータの変更 [NO]SYSUAF システム・ユーザ登録ファイル(SYSUAF.DAT)の変更 [NO]TIME システム時刻またはクラスタ時刻の変更
否定形でイベント・クラスを指定すると(たとえばNOLOGFAIL),指定したイベント・クラスは監査レポートから除外されます。
| #1 |
|---|
$ ANALYZE/AUDIT/EVENT_TYPE=LOGFAIL - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
この例では,LOGFAILクラスに対応するログイン失敗のすべてのレコードを抽出し,簡略形式のレポートを作成します。
| #2 |
|---|
$ ANALYZE/AUDIT/EVENT_TYPE=(NOLOGIN,NOLOGOUT) - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
この例では,LOGINおよびLOGOUTイベント・クラスを除き,他のすべての監査レコードのレポートを簡略形式で作成します。
| /FULL | |
ASCII 表示で詳細形式を使用するかどうかを制御します。/NOFULL を指定した場合や修飾子を省略した場合,レコードは簡略形式で表示されます。
/FULL/NOFULL (省略時の設定)
キーワード |
|
なし。
省略時の設定では,レコードは簡略形式で表示されます。選択した各レコードの詳細内容を表示するには,/FULL を指定してください (または Ctrl/C を押してコマンド・モードに入る)。
| #1 |
|---|
$ ANALYZE/AUDIT /FULL - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL |
選択した各レコードの詳細内容を表示するコマンド例です。
| /IGNORE | |
指定した基準を満たすレコードをレポートから除外します。
/IGNORE= 基準[,...]
キーワード |
|
基準[,...]
指定した除外基準を満たすレコード以外のすべてのレコードを選択することを指定します。/IGNORE 修飾子で使用できる基準については,/SELECT 修飾子の説明を参照してください。
/IGNORE 修飾子は,特定のグループに属する監査レコードを監査レポートから除外します。複数の除外基準を指定した場合,省略時の設定では,そのいずれかを満たすレコードは除外されます。
| #1 |
|---|
$ ANALYZE/AUDIT/IGNORE=(SYSTEM=NAME=WIPER,USERNAME=MILANT) - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL |
ノード WIPER または任意のノード上のユーザ MILANT が作成した監査ログ・ファイル内のすべてのレコードを,監査分析レポートから除外するコマンド例です。
| #2 |
|---|
$ ANALYZE/AUDIT/IGNORE=SUBTYPE=(DIALUP,REMOTE) |
この例のコマンドは,ダイアルアップ・プロセスとリモート・プロセスを除外します。
| /INTERACTIVE | |
ANALYZE/AUDIT ユーティリティ起動時に会話型コマンド・モードを許可するかどうかを制御します。
/INTERACTIVE (省略時の設定)/NOINTERACTIVE
キーワード |
|
なし。
会話型コマンド・モード (省略時) では,ターミナルに表示されている監査レポートを中断し,レコード選択基準や表示位置を変更するコマンドを入力することができます。詳細または簡略の監査レポートを中断するには,Ctrl/C を押して COMMAND> プロンプトにコマンドを入力します。コマンド・モードに入ると,現在のレコードが詳細形式で表示されます。このレコードは,前回の ANALYZE/AUDIT コマンドで指定した選択または除外の基準を満たさない場合があります。
コマンド・モードの省略時の設定は NEXT RECORD コマンドです。 ANALYZE/AUDIT でログ・ファイルの終端に達すると,次のコマンドを入力するよう求められます。現在のログ・ファイル名およびファイル内での位置を確認するには, Ctrl/T を押します。
CONTINUE コマンドを入力すると,会話型コマンド・モードが終了し,監査レポートの表示が再開されます。EXIT コマンドを入力すると,セッションが終了します。会話型コマンドの説明については,ANALYZE/AUDIT コマンドの項を参照してください。
会話型モードを禁止するには,/NOINTERACTIVE を指定します。このモードでは,一度に 1 つの監査レコードが表示されます。ここで改行キーを押せば,次のレコードに進みます。
| #1 |
|---|
$ ANALYZE/AUDIT/FULL - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
選択したレコードの詳細形式表示を出力するのコマンド例です。 3 秒ごとにレコードが表示されます。レコード表示時刻の変更方法については, /PAUSE 修飾子の説明を参照してください。表示を中断して会話型コマンドを入力するには,Ctrl/C を押します。
| #2 |
|---|
$ ANALYZE/AUDIT/FULL/NOINTERACTIVE - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL |
非会話型モードで ANALYZE/AUDIT ユーティリティを起動するコマンド例です。選択したレコードのうち,最初のレコードが表示されます。ここで改行キーを押せば,次のレコードが表示されます。選択したすべてのレコードの表示が完了すると,DCL コマンド・レベルに戻ります。
| 目次 | 索引 |
|
||||||||
|
||||||||
