[ 前のページ ]
[ 次のページ ]
[ 目次 ]
[ 索引 ]
[ DOC Home ]
監査分析ユーティリティ(ANALYZE/AUDIT)は,セキュリティ監査ログ・ファイルをもとに, システム管理者やセキュリティ管理担当者がレポートを作成するときに使用するシステム管理ツールです。
OpenVMSオペレーティング・システムでは,登録データベースの変更やSET AUDIT コマンドの使用などの特定のイベントが自動的に監査されます。 必要に応じて,ほかの形式のレポートを作成することができます。 しかし,監査ログ・ファイルを定期的に検討するプロシージャを開発し実施しないかぎり, セキュリティ監査メッセージは有効になりません。 ANALYZE/AUDITは,セキュリティ監査ログ・ファイルやセキュリティ・アーカイブ・ ファイルのデータを検討するときに使用します。
ANALYZE/AUDITコマンドでは,セキュリティ監査ログ・ファイルから抽出する情報のタイプを修飾子で指定できます。 また,各種形式の監査レポートを, ファイルとターミナルのどちらにも出力できます。
セキュリティ監査ファイルに書き込まれる監査メッセージの形式についての説明は, 付録 Fを参照してください。
バージョンが混在しているクラスタでは,監査ログ・ファイルにいくつかの異なるバージョンのオペレーティング・ システムを実行しているシステムのエントリが書き込まれることになります。 ログ・ファイルを分析するには, バージョン6.1以降を実行しているノードから監査分析ユーティリティ(ANALYZE/AUDIT) を起動する必要があります。
監査メッセージ・レコードの生成方法およびANALYZE/AUDITの使用法については, 『OpenVMS Guide to System Security』を参照してください。
Audit Analysisユーティリティ(ANALYZE/AUDIT)は,セキュリティ監査ログ・ ファイル内のイベント・メッセージを処理し,システム上のセキュリティ関連イベントのレポートを出力します。
ANALYZE/AUDIT [ファイル指定[,...]]
ファイル指定パラメータを省略すると,ANALYZE/AUDITユーティリティは, 省略時の監査ログ・ファイルSECURITY.AUDIT$JOURNALを検索します。
省略時の監査ログ・ファイルは,SYS$COMMON:[SYSMGR]ディレクトリに作成されます。 このファイルを使用するには,ANALYZE/AUDITのコマンド行にSYS$MANAGER を指定します。ディレクトリを指定しない場合,ANALYZE /AUDITユーティリティは,現在のディレクトリでファイルを検索します。
ファイル指定には,アスタリスク(*)やパーセント記号(%)などのワイルドカード文字を使用できます。
監査ログ・ファイルは,どのディレクトリにも格納できます。現在の記憶位置を表示するには,DCL のSET AUDIT/ALLコマンドを使用します。
ANALYZE/AUDIT [ファイル指定,...]
ANALYZE/AUDITコマンドでは,セキュリティ・アーカイブ・ファイルやバイナリ・ ファイル(以前に実行したANALYZE/AUDITコマンドで作成したもの) からセキュリティ・イベント・メッセージを抽出することもできます。
ANALYZE/AUDIT要求は,ログ・ファイルの処理が終了するまで実行し続けます。Ctrl/C を押してコマンド・モードを起動すれば,処理を中断して, 表示を変更したりレポート内の位置を変えたりできます。実行中のANALYZE/AUDIT 要求を終了するには,Ctrl/Zを押します。
/OUTPUT修飾子の引数としてファイル指定を指定すれば,ANALYZE/AUDITの実行結果をターミナル装置やディスクまたはテープ・ ファイルに出力できます。 省略時の出力先は,SYS$OUTPUTです。
ANALYZE/AUDIT要求を使用する場合,コマンド行に指定するファイルへのアクセス権だけが必要です。
この項では,ANALYZE/AUDITとその修飾子について,例を挙げて説明します。 次の表は,ANALYZE/AUDIT修飾子の一覧です。
修飾子 | 説明 |
---|---|
/BEFORE | 指定した時刻より前の日付を持つレコードを選択するかどうかを制御する。 |
/BINARY | 出力をバイナリ・ファイルにするかどうかを制御する。 |
/BRIEF | ASCII表示で1行だけの簡略レコード形式を使用するかどうかを制御する。 |
/EVENT_TYPE | セキュリティ・ ログ・ファイルから抽出するイベントのクラスを選択する。 |
/FULL | ASCII表示で詳細形式を使用するかどうかを制御する。 |
/IGNORE | 指定した基準を満たすレコードをレポートから除外する。 |
/INTERACTIVE | ANALYZE/AUDITユーティリティ起動時に会話型コマンド・モードを許可するかどうかを制御する。 |
/OUTPUT | ANALYZE/AUDITユーティリティの出力先を指定する。 |
/PAUSE | 詳細形式表示で各レコードを表示する時刻の長さを指定する。 |
/SELECT | レコード選択基準を指定する。 |
/SINCE | 指定した時刻以降の日付を持つレコードを処理対象とすることを指定する。 |
/SUMMARY | すべてのレコード処理後,選択したレコードの要約を出力することを指定する。 |
指定した時刻より前の日付を持つレコードを選択するかどうかを制御します。
/BEFORE [=時刻] /NOBEFORE
$ ANALYZE/AUDIT /BEFORE=25-NOV-1998 - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL日付が1998年11月25日より前のすべてのレコードを選択するコマンド例です。
$ ANALYZE/AUDIT /BEFORE=14:00/SINCE=12:00 - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL今日の正午から午後2時までの間に作成されたすべてのレコードを選択するコマンド例です。
出力をバイナリ・ファイルにするかどうかを制御します。
/BINARY /NOBINARY
/BINARYを指定し,/OUTPUT修飾子を指定しなかったときは,省略時の設定により,AUDIT.AUDIT$JOURNAL という名前の出力ファイルが作成されます。
/BINARY,/BRIEF,/FULL修飾子と併用することはできません。
$ ANALYZE/AUDIT /BINARY/SINCE=TODAY/OUTPUT=25DEC96.AUDIT - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL本日作成したすべての監査レコードを選択し,バイナリ形式で25DEC96.AUDIT に書き込むコマンド例です。
ASCII表示で1行だけの簡略レコード形式を使用するかどうかを制御します。
/BRIEF (省略時の設定)
/BINARY,/BRIEF,/FULL修飾子と併用することはできません。
$ ANALYZE/AUDIT /OUTPUT=AUDIT.LIS - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL省略時の簡略形式でASCIIファイルを出力するコマンド例です。出力されたレポートは,AUDIT.LIS ファイルに書き込まれます。
セキュリティ・ログ・ファイルから抽出するイベントのクラスを選択します。 この修飾子を指定しなかった場合や,ALLキーワードを指定した場合には, 許可されているすべてのイベント・クラスがレポートに報告されます。
/EVENT_TYPE=(イベント・タイプ[,...])
[NO]ACCESS | ファイルなどのオブジェクトへのアクセス |
[NO]ALL | すべてのイベント・タイプ |
[NO]AUDIT | SET AUDITコマンドの使用 |
[NO]AUTHORIZATION | 登録データベース(SYSUAF.DAT ,RIGHTSLIST.DAT,NETPROXY.DAT,またはNET$PROXY) の変更 |
[NO]BREAKIN | 侵入の検出 |
[NO]CONNECTION | System Managementユーティリティ(SYSMAN),DECwindows,プロセス間通信(IPC) ソフトウェア,またはDECnet Phase IV (VAXのみ) のいずれかによるネットワーク接続の確立 |
[NO]CREATE | オブジェクトの作成 |
[NO]DEACCESS | オブジェクトへのアクセスの終了 |
[NO]DELETE | オブジェクトの削除 |
[NO]INSTALL | Installユーティリティ(INSTALL)による既知ファイル・リストの変更 |
[NO]LOGFAIL | ログインの失敗 |
[NO]LOGIN | ログインの成功 |
[NO]LOGOUT | ログアウトの成功 |
[NO]MOUNT | DCL のMOUNTコマンドまたはDISMOUNTコマンドの実行 |
[NO]NCP | DECnetネットワーク構成データベースの変更 |
[NO]NETPROXY | ネットワーク代理登録ファイル(NETPROXY.DAT またはNET$PROXY.DAT)の変更 |
[NO]PRIVILEGE | 特権の監査 |
[NO]PROCESS | 1つ以上のプロセス制御システム・サービスの使用: $CREPRC,$DELPRC,$SCHDWK,$CANWAK, $WAKE,$SUSPND,$RESUME,$GRANTID, $REVOKID,$GETJPI,$FORCEX,$SETPRI |
[NO]RIGHTSDB | 権利データベース(RIGHTSLIST.DAT) の変更 |
[NO]SYSGEN | System Generationユーティリティ(SYSGEN)またはAUTOGENによるシステム・パラメータの変更 |
[NO]SYSUAF | システム・ユーザ登録ファイル(SYSUAF.DAT)の変更 |
[NO]TIME | システム時刻またはクラスタ時刻の変更 |
否定形でイベント・クラスを指定すると(たとえばNOLOGFAIL),指定したイベント・ クラスは監査レポートから除外されます。
$ ANALYZE/AUDIT/EVENT_TYPE=LOGFAIL - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNALこの例では,LOGFAILクラスに対応するログイン失敗のすべてのレコードを抽出し, 簡略形式のレポートを作成します。
$ ANALYZE/AUDIT/EVENT_TYPE=(NOLOGIN,NOLOGOUT) - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNALこの例では,LOGINおよびLOGOUTイベント・クラスを除き,他のすべての監査レコードのレポートを簡略形式で作成します。
ASCII表示で詳細形式を使用するかどうかを制御します。/NOFULLを指定した場合や修飾子を省略した場合, レコードは簡略形式で表示されます。
/FULL /NOFULL (省略時の設定)
/BINARY,/BRIEF,/FULL修飾子と併用することはできません。
$ ANALYZE/AUDIT /FULL - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL選択した各レコードの詳細内容を表示するコマンド例です。
指定した基準を満たすレコードをレポートから除外します。
/IGNORE= 基準[,...]
$ ANALYZE/AUDIT/IGNORE=(SYSTEM=NAME=WIPER,USERNAME=MILANT) - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNALノードWIPERまたは任意のノード上のユーザMILANTが作成した監査ログ・ ファイル内のすべてのレコードを,監査分析レポートから除外するコマンド例です。
$ ANALYZE/AUDIT/IGNORE=SUBTYPE=(DIALUP,REMOTE)この例のコマンドは,ダイアルアップ・プロセスと遠隔プロセスを除外します。
ANALYZE/AUDITユーティリティ起動時に会話型コマンド・モードを許可するかどうかを制御します。
/INTERACTIVE (省略時の設定) /NOINTERACTIVE
詳細または簡略の監査レポートを中断するには,Ctrl/Cを押してCOMMAND> プロンプトにコマンドを入力します。コマンド・モードに入ると, 現在のレコードが詳細形式で表示されます。このレコードは,前回のANALYZE/AUDIT コマンドで指定した選択または除外の基準を満たさない場合があります。
コマンド・モードの省略時の設定はNEXT RECORDコマンドです。ANALYZE /AUDITでログ・ファイルの終端に達すると,次のコマンドを入力するよう求められます。 現在のログ・ファイル名およびファイル内での位置を確認するには,Ctrl/T を押します。
CONTINUEコマンドを入力すると,会話型コマンド・モードが終了し,監査レポートの表示が再開されます。EXIT コマンドを入力すると,セッションが終了します。 会話型コマンドの説明については,ANALYZE/AUDITコマンドの項を参照してください。
会話型モードを禁止するには,/NOINTERACTIVEを指定します。このモードでは,1 度に1つの監査レコードが表示されます。ここで改行キーを押せば, 次のレコードに進みます。
$ ANALYZE/AUDIT/FULL - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL選択したレコードの詳細形式表示を出力するのコマンド例です。3秒ごとにレコードが表示されます。 レコード表示時刻の変更方法については,/PAUSE 修飾子の説明を参照してください。表示を中断して会話型コマンドを入力するには,Ctrl/C を押します。
$ ANALYZE/AUDIT/FULL/NOINTERACTIVE - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL非会話型モードでANALYZE/AUDITユーティリティを起動するコマンド例です。 選択したレコードのうち,最初のレコードが表示されます。ここで改行キーを押せば, 次のレコードが表示されます。選択したすべてのレコードの表示が完了すると,DCL コマンド・レベルに戻ります。
ANALYZE/AUDITユーティリティの出力先を指定します。修飾子を省略すると, レポートはSYS$OUTPUTに送られます。
/OUTPUT [=ファイル指定] /NOOUTPUT
$ ANALYZE/AUDIT /BINARY/OUTPUT=BIN122588.DAT - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNALシステム監査ログ・ファイルから監査レコードを選択し,バイナリ・ファイルBIN122588.DAT に書き込むコマンド例です。
詳細形式で各レコードを表示する時間の長さを指定します。
/PAUSE =秒数
$ ANALYZE/AUDIT /FULL/PAUSE=1 - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL選択したレコードを,詳細形式で1秒ごとに表示するコマンド例です。 Ctrl/Cを押せば,表示を中断して会話型コマンドを入力することができます。 詳細については,ANALYZE/AUDITコマンドの項を参照してください。
監査ログ・ファイルのレコードの選択基準を指定します。監査レコードを生成する方法については, 『OpenVMS Guide to System Security』を参照してください。
/SELECT= 選択基準[,...] /NOSELECT
たとえば,(USER=(PUTNAM,WU),SYSTEM=DBASE)を指定した場合, SYSTEM=DBASEパケットを含み,値がPUTNAMまたはWUであるUSERパケットを含むイベント・ レコードが選択されます。
/SELECT修飾子を指定しなかった場合には,/EVENT_TYPE修飾子によって選択されたすべてのイベント・ レコードが監査ログ・ファイルから抽出され, レポートに出力されます。
次の選択基準を指定できます。
Associate | Execute | Read |
Control | Lock | Submit |
Create | Logical | Use |
Delete | Manage | Write |
Physical |
これらの各タイプについての説明は,『OpenVMS Guide to System Security』を参照してください。
ANALYZE/AUDIT/SELECT=FIELD_NAMEコマンドで使用できるFIELD_NAME選択基準にどんなものがあるかをみるためには, 事前に/EVENT修飾子を指定してANALYZE/AUDIT コマンドを実行してみます。このコマンドを実行すると使用できるフィールドが表示されます。
詳しくはSENSITIVE_FIELD_NAMEを参照してください。
File ID: (3024,5,0)
この場合,次の公式を使って値を計算することができます。
((0 * 65536) + 5 * 65536) + 3024 = 330704
NAME=ユーザ名 | 保有者の名前を指定する。名前全体または名前の一部をワイルドカードで表現できる。 |
OWNER=UIC | 保有者のユーザ識別コード(UIC) を指定する。 |
ATTRIBUTES=名前 | 特定の属性の名前を指定する。 指定できる属性名はDynamic,Holder_Hidden,Name_Hidden, NoAccess,Resource,Subsystemシステムである。 |
NAME=識別子 | 識別子の元の名前を指定する。 名前全体または一部をワイルドカードで表現できる。 |
NEW_NAME=識別子 | 識別子の新しい名前を指定する。 名前全体または一部をワイルドカードで表現できる。 |
NEW_ATTRIBUTES=名前 | 新しい属性の名前を指定する。 指定できる属性名はDynamic,Holder_Hidden, Name_Hidden,NoAccess,Resource,Subsystemである。 |
VALUE=値 | 識別子の元の値を指定する。 |
NEW_VALUE=値 | 識別子の新しい値を指定する。 |
FILE=ファイル名 | インストールされているファイルの名前を指定する。
名前全体または一部をワイルドカードで表現できる。
バージョン6.1以前のAlphaシステム,およびバージョン6.0以前のVAX システムでは,監査ログ・ファイルはインストール済みファイル名をオブジェクト名パケット内に記録する。 インストール済みファイルを選択するには,FILE= ファイル名ではなく,OBJECT=(NAME=オブジェクト名) を使用しなければならない。 |
FLAGS=フラグ名 | Installユーティリティ(INSTALL)の修飾子に対応するフラグの名前を指定する。 たとえば,OPENは/OPENに対応する。 |
PRIVILEGES=特権名 | ファイルをインストールするときに使用した特権の名前を指定する。 |
USERNAME=ユーザ名 | ローカル・アカウントの名前を指定する。 名前全体または一部をワイルドカードで表現できる。 |
{ ACCESSIBILITY } { EXPIRATION } { IDENTIFICATION } { } { LIMITED_SEARCH } { LOCK } { NO_FORCED_ERROR } { } { OWNER_IDENTIFIER } { SECURITY } { SETID} { }
NOLABELとFOREIGNは,それぞれFOREIGNフラグを指しています。これは,MOUNT/NOLABEL コマンドとMOUNT/FOREIGNコマンドが,どちらもFOREIGN フラグを設定するためです。したがって,MOUNT/NOLABELを使用し,ANALYZE/AUDIT/SELECT/MOUNT_FLAGS=NOLABEL を使用すると,監査レコードはFOREIGN フラグを表示します。
詳しくはSENSITIVE_NEW_DATAを参照してください。
CLASS=クラス名 | 次のいずれかの汎用オブジェクト・ クラスを指定する。 |
Capability Device Event_cluster File Group_global_section Logical_name_table Queue Resource_domain Security_class System_global_section Volume | |
完全なクラス名( たとえばCLASS=logical_name_table)を入力するか,またはクラス名の一部としてワイルドカード文字を使用する( たとえばCLASS=log*) 。 | |
NAME=オブジェクト名 | オブジェクトの名前を指定する。名前全体または一部をワイルドカードで表現できる。 ワイルドカードを使用しない場合には, 完全なオブジェクト名を指定する(たとえば,_BOSTON$DUA0:[RWOODS]MEMO.MEM;1) 。 |
OWNER=値 | オブジェクトの汎用識別子またはUICを指定する。 |
TYPE=タイプ | 汎用オブジェクト・ クラス(オブジェクトのタイプ)を指定する。指定できるクラスは次のとおりである。 |
Capability Device File Group_global_section Logical_name_table Queue System_global_section | |
CLASSキーワードはTYPEキーワードの代わりに使用する。しかし, OpenVMS Alphaバージョン6.1以前,およびOpenVMS VAXバージョン6.0以前で作成されたファイルの監査レコードを選択するには,TYPE キーワードが必要である。 |
IDENTIFICATION=値 | 親プロセスのプロセス識別子(PID) を指定する。 |
NAME=プロセス名 | 親プロセスの名前を指定する。 名前全体または一部をワイルドカードで表現できる。 |
OWNER=値 | 親プロセスの所有者(識別子の値)を指定する。 |
USERNAME=ユーザ名 | 親プロセスのユーザ名を指定する。 名前全体または一部をワイルドカードで表現できる。 |
IDENTIFICATION=値 | プロセスのPIDを指定する。 |
NAME=プロセス名 | プロセスの名前を指定する。 名前全体または一部をワイルトカードで表現できる。 |
ASSOCIATION_NAME=IPC名 | プロセス間通信(IPC) の関係名を指定する。 |
LINK_IDENTIFICATION=値 | DECnet論理リンクの番号を指定する。 |
IDENTIFICATION=値 | DECnetノード・アドレスを指定する。 |
NODENAME=ノード名 | DECnetノード名を指定する。 名前全体または一部をワイルドカードで表現できる。 |
USERNAME=ユーザ名 | 遠隔ユーザ名を指定する。 遠隔ユーザ名全体または一部をワイルドカードで表現できる。 |
SUCCESSFUL | 正常終了状態を指定する。 |
FAILURE | 異常終了状態を終了する。 |
CODE=(値,...) | 特定の終了状態を指定する。 |
有効なサブタイプの値については表 F-2 を参照してください。
IDENTIFICATION=値 | システムの数値識別を指定する。 |
NAME=ノード名 | システムのノード名を指定する。 |
VAXシステムでは,DECnetトランスポート名(NSP)を指定することもできます。
$ ANALYZE/AUDIT /FULL/SELECT=USERNAME=JOHNSON - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNALこの例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち, ユーザJOHNSONが作成したすべてのレコードを選択します。
$ ANALYZE/AUDIT/FULL/SELECT=PRIVILEGES_USED=(SYSPRV,- _$ BYPASS) SYS$MANAGER:SECURITY.AUDIT$JOURNALこの例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち,SYSPRV 特権またはBYPASS特権を使用してイベントによって作成されたすべてのレコードを選択します。
$ ANALYZE/AUDIT/FULL/EVENT=SYSUAF/SELECT= - _$ IMAGE=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") - _$ SYS$MANAGER:SECURITYこの例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち, パスワードの変更に関係するすべてのレコードを選択します。
次の例はコマンド・プロシージャであり,夜間に実行することにより, すべてのSYSUAFイベント,AUDITイベント,BREAKINイベント(パスワードの変更を除く) を選択し,結果をシステム管理者にメールとして送信できます。
$! DAILY_AUDIT.COM $ $ mail_list = "SYSTEM" $ audsrv$_noselect = %X003080A0 $ audit_events = "SYSUAF,BREAKIN,AUDIT" $ $ analyze /audit /full - /event=('audit_events') - /output=audit.tmp - /ignore=image=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") - sys$manager:SECURITY.AUDIT$JOURNAL $ $ status = $status $ if (status.and.%XFFFFFFF) .eq. audsrv$_noselect then goto no_records $ if .not. status then goto error_analyze $ if f$file("audit.tmp","eof") .eq. 0 then goto no_records $ mail /subject="''audit_events' listing from ''f$time()'" - audit.tmp 'mail_list' $ goto new_log $ $ no_records: $ mail /subject="No interesting security events" nl: 'mail_list' $ $ new_log: $ if f$search("audit.tmp") .nes. "" then delete audit.tmp;* $ set audit /server=new_log $ rename sys$manager:SECURITY.AUDIT$JOURNAL;-1 - sys$common:[sysmgr]'f$element(0," ",f$edit(f$time(),"TRIM"))' $ exit $ $ error_analyze: $ mail/subj="Error analyzing auditing information" nl: 'mail_list' $ exit
指定した時刻より後の日付を持つレコードを処理することを指定します。
/SINCE [=時刻] /NOSINCE
/SINCEに時刻を指定しない場合,現在の日時の始まり が使用されます。
$ ANALYZE/AUDIT /SINCE=25-NOV-1998 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL日付が1998年11月25日より後のレコードを選択するコマンド例です。
$ ANALYZE/AUDIT /SINCE=25-NOV-1998:15:00 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL1998年11月25日午後3 時より後に書き込まれたレコードを選択するコマンド例です。
選択したすべてのレコードの処理の終了後,要約を出力することを指定します。
/SUMMARY修飾子は単独でも使用できますが,/BRIEF,/BINARY,/FULL修飾子と組み合わせることもできます。
/SUMMARY =プレゼンテーション /NOSUMMARY
次のいずれかのプレゼンテーションを指定できます。
$ ANALYZE/AUDIT/SUMMARY SYS$MANAGER:SECURITY.AUDIT$JOURNALこのVAXシステムの例では,処理されたすべてのレコードの要約レポートが作成されます。
Total records read: 9701 Records selected: 9701 Record buffer size: 1031 Successful logins: 542 Object creates: 1278 Successful logouts: 531 Object accesses: 3761 Login failures: 35 Object deaccesses: 2901 Breakin attempts: 2 Object deletes: 301 System UAF changes: 10 Volume (dis)mounts: 50 Rights db changes: 8 System time changes: 0 Netproxy changes: 5 Server messages: 0 Audit changes: 7 Connections: 0 Installed db changes: 50 Process control audits: 0 Sysgen changes: 9 Privilege audits: 91 NCP command lines: 120
$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY- _$ SYS$MANAGER:SECURITY.AUDIT$JOURNALこの例では,侵入クラスまたはログ失敗イベント・クラスに対応するすべての記録された監査メッセージの詳細な形式の一覧が作成されます。 リストの最後に要約レポートも出力されます。
$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY=PLOT - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNALこのコマンドで作成されるヒストグラムはキャラクタ・セル・ターミナルに表示できます。
この項では,ANALYZE/AUDITユーティリティで使用できる会話型コマンドについて説明します。 修飾子は,DCLの標準文法に従って指定してください。
ANALYZE/AUDITユーティリティは,省略時の設定では会話形式で実行します。 会話形式を禁止するには,ANALYZE/AUDITコマンドに/NOINTERACTIVE 修飾子を付けます。詳細形式と簡略形式のいずれの会話型表示でも, Ctrl/Cを押すことによって,いつでも会話型コマンドを入力できます。次のコマンドはすべて,COMMAND> プロンプトに入力できます。イベント・レコード処理を再開するには,CONTINUE コマンドを使用します。セッションを終了するには,EXIT コマンドを使用します。
イベント・レコードの処理を再開します。
CONTINUE
COMMAND> DISPLAY/SINCE=25-JAN-1998/SELECT=USERNAME=JOHNSON COMMAND> CONTINUE最初のコマンドは,1998年1月25日より後にユーザJOHNSONが作成したイベント・ レコードだけを選択しています。次のコマンドは,別の選択基準に従ってレポートを表示しています。
イベント・レコード選択基準を変更します。
DISPLAY
次の修飾子の詳細については,前述のANALYZE/AUDITの修飾子の項を参照してください。
COMMAND> DISPLAY/EVENT_TYPE=SYSUAF COMMAND> CONTINUE最初のコマンドは,システム・ユーザ登録ファイル(SYSUAF)を変更した結果作成されたレコードを選択しています。 次のコマンドは,選択したレコードを表示しています。
COMMAND> DISPLAY/SELECT=USERNAME=CRICK COMMAND> CONTINUE . . . <Ctrl/C> COMMAND> DISPLAY/SELECT=USERNAME=WATSON COMMAND> CONTINUE最初のDISPLAYコマンドは,ユーザCRICKが作成したレコードを選択しています。 次のコマンドは,選択したレコードを表示しています。2番目のDISPLAY コマンドは,ユーザWATSONが作成したレコードを選択しています。 最後のコマンドは,ユーザCRICKとWATSONが作成したすべてのレコードを表示しています。
セッションを終了します。
EXIT
ANALYZE/AUDITコマンドの使い方に関するヘルプ情報をオンラインで出力します。
HELP [項目]
COMMAND> HELP DISPLAYDISPLAYコマンドのヘルプ情報を表示するコマンド例です。
イベント・レコード選択基準を変更します。このコマンドは,DISPLAYコマンドと同じです。
LIST
COMMAND> LIST/EVENT_TYPE=SYSUAF COMMAND> CONTINUE最初のコマンドは,システム・ユーザ登録ファイル(SYSUAF)を変更した結果作成されたレコードを選択しています。 次のコマンドは,選択したレコードを表示しています。
現在のセキュリティ監査ログ・ファイルをクローズして次のログ・ ファイルをオープンするかどうかを制御します。このコマンドは,*.AUDIT$JOURNAL のように,ANALYZE/AUDITコマンドでワイルドカード・ ファイル指定を行うときに便利です。別の監査ログ・ファイルをオープンしない場合, 監査分析セッションは終了し,制御はDCLに戻ります。
NEXT FILE
次の監査レコードを表示するかどうかを制御します。NEXT RECORDコマンドは, 対話形式モードの省略時の設定です。
このコマンドは,POSITIONコマンドと同じです。
NEXT RECORD
詳細形式表示を,指定した数のイベント・レコード分だけ前方または後方に移動します。
POSITION 数
COMMAND> POSITION 100100個のイベント・レコード分だけ,表示を前方に移動するコマンド例です。
COMMAND> POSITION -100100個のイベント・レコード分だけ,表示を後方に移動するコマンド例です。
イベント・レコードの選択に現在使用されている選択または除外の基準に関する情報を表示します。
SHOW オプション[,...]
ALL | イベント・レコードの選択に使用されているすべての基準を表示する。 |
EXCLUSION_CRITERIA | イベント・レコードの除外に使用されている基準を表示する。 |
SELECTION_CRITERIA | イベント・レコードの選択に使用されている基準を表示する。 |
COMMAND> SHOW SELECTION_CRITERIAレコードの選択に現在使用されている選択基準を表示するコマンド例です。
[ 前のページ ]
[ 次のページ ]
[ 目次 ]
[ 索引 ]
[ DOC Home ]