[ 前のページ ] [ 次のページ ] [ 目次 ] [ 索引 ] [ DOC Home ]

4 監査分析ユーティリティ(ANALYZE/AUDIT)

4.1 ANALYZE/AUDITについて

監査分析ユーティリティ(ANALYZE/AUDIT)は,セキュリティ監査ログ・ファイルをもとに, システム管理者やセキュリティ管理担当者がレポートを作成するときに使用するシステム管理ツールです。

OpenVMSオペレーティング・システムでは,登録データベースの変更やSET AUDIT コマンドの使用などの特定のイベントが自動的に監査されます。 必要に応じて,ほかの形式のレポートを作成することができます。 しかし,監査ログ・ファイルを定期的に検討するプロシージャを開発し実施しないかぎり, セキュリティ監査メッセージは有効になりません。 ANALYZE/AUDITは,セキュリティ監査ログ・ファイルやセキュリティ・アーカイブ・ ファイルのデータを検討するときに使用します。

ANALYZE/AUDITコマンドでは,セキュリティ監査ログ・ファイルから抽出する情報のタイプを修飾子で指定できます。 また,各種形式の監査レポートを, ファイルとターミナルのどちらにも出力できます。

セキュリティ監査ファイルに書き込まれる監査メッセージの形式についての説明は, 付録 Fを参照してください。

バージョンが混在しているクラスタでは,監査ログ・ファイルにいくつかの異なるバージョンのオペレーティング・ システムを実行しているシステムのエントリが書き込まれることになります。 ログ・ファイルを分析するには, バージョン6.1以降を実行しているノードから監査分析ユーティリティ(ANALYZE/AUDIT) を起動する必要があります。

監査メッセージ・レコードの生成方法およびANALYZE/AUDITの使用法については, 『OpenVMS Guide to System Security』を参照してください。

4.2 ANALYZE/AUDIT使用法の要約

Audit Analysisユーティリティ(ANALYZE/AUDIT)は,セキュリティ監査ログ・ ファイル内のイベント・メッセージを処理し,システム上のセキュリティ関連イベントのレポートを出力します。

形式

ANALYZE/AUDIT   [ファイル指定[,...]]
パラメータ
ファイル指定[,...]

1つ以上のセキュリティ監査ログ・ファイルを,ANALYZE/AUDITへの入力として指定します。 複数のファイル名を指定する場合,コンマでファイル名を区切ります。

ファイル指定パラメータを省略すると,ANALYZE/AUDITユーティリティは, 省略時の監査ログ・ファイルSECURITY.AUDIT$JOURNALを検索します。

省略時の監査ログ・ファイルは,SYS$COMMON:[SYSMGR]ディレクトリに作成されます。 このファイルを使用するには,ANALYZE/AUDITのコマンド行にSYS$MANAGER を指定します。ディレクトリを指定しない場合,ANALYZE /AUDITユーティリティは,現在のディレクトリでファイルを検索します。

ファイル指定には,アスタリスク(*)やパーセント記号(%)などのワイルドカード文字を使用できます。

監査ログ・ファイルは,どのディレクトリにも格納できます。現在の記憶位置を表示するには,DCL のSET AUDIT/ALLコマンドを使用します。

使用法の要約DCL のANALYZE/AUDITコマンドは,セキュリティ監査ログ・ファイルやセキュリティ・ アーカイブ・ファイルの分析に使用します。次のように,1つ以上のログ・ ファイル名をコマンド行に指定できます。

ANALYZE/AUDIT [ファイル指定,...]

ANALYZE/AUDITコマンドでは,セキュリティ・アーカイブ・ファイルやバイナリ・ ファイル(以前に実行したANALYZE/AUDITコマンドで作成したもの) からセキュリティ・イベント・メッセージを抽出することもできます。

ANALYZE/AUDIT要求は,ログ・ファイルの処理が終了するまで実行し続けます。Ctrl/C を押してコマンド・モードを起動すれば,処理を中断して, 表示を変更したりレポート内の位置を変えたりできます。実行中のANALYZE/AUDIT 要求を終了するには,Ctrl/Zを押します。

/OUTPUT修飾子の引数としてファイル指定を指定すれば,ANALYZE/AUDITの実行結果をターミナル装置やディスクまたはテープ・ ファイルに出力できます。 省略時の出力先は,SYS$OUTPUTです。

ANALYZE/AUDIT要求を使用する場合,コマンド行に指定するファイルへのアクセス権だけが必要です。

4.3 ANALYZE/AUDITの修飾子

この項では,ANALYZE/AUDITとその修飾子について,例を挙げて説明します。 次の表は,ANALYZE/AUDIT修飾子の一覧です。

修飾子 説明
/BEFORE 指定した時刻より前の日付を持つレコードを選択するかどうかを制御する。
/BINARY 出力をバイナリ・ファイルにするかどうかを制御する。
/BRIEF ASCII表示で1行だけの簡略レコード形式を使用するかどうかを制御する。
/EVENT_TYPE セキュリティ・ ログ・ファイルから抽出するイベントのクラスを選択する。
/FULL ASCII表示で詳細形式を使用するかどうかを制御する。
/IGNORE 指定した基準を満たすレコードをレポートから除外する。
/INTERACTIVE ANALYZE/AUDITユーティリティ起動時に会話型コマンド・モードを許可するかどうかを制御する。
/OUTPUT ANALYZE/AUDITユーティリティの出力先を指定する。
/PAUSE 詳細形式表示で各レコードを表示する時刻の長さを指定する。
/SELECT レコード選択基準を指定する。
/SINCE 指定した時刻以降の日付を持つレコードを処理対象とすることを指定する。
/SUMMARY すべてのレコード処理後,選択したレコードの要約を出力することを指定する。

/BEFORE

指定した時刻より前の日付を持つレコードを選択するかどうかを制御します。

形式

    /BEFORE [=時刻]

    /NOBEFORE

キーワード

時刻

レコード選択に使用する時刻を指定します。指定した時刻より前の日付を持つレコードを選択します。 絶対時刻とデルタ時間のどちらでも指定できます。 また,絶対時刻とデルタ時間を組み合わせることもできます。 日付と時刻の構文規則については,『OpenVMSユーザーズ・マニュアル』を参照してください。

説明

省略時の設定では,セキュリティ監査ログ・ファイル内のすべてのレコードが処理対象となります。 特定の時刻より後に作成したレコードを除外するには,/BEFORE を指定します。

  1. $ ANALYZE/AUDIT /BEFORE=25-NOV-1998 -
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    日付が1998年11月25日より前のすべてのレコードを選択するコマンド例です。

  2. $ ANALYZE/AUDIT /BEFORE=14:00/SINCE=12:00 -
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    今日の正午から午後2時までの間に作成されたすべてのレコードを選択するコマンド例です。

/BINARY

出力をバイナリ・ファイルにするかどうかを制御します。

形式

    /BINARY

    /NOBINARY

キーワード

なし

説明

/BINARYを指定すると,/OUTPUT修飾子で指定した出力ファイルに, 入力レコードのイメージ・コピーが格納されます。/NOBINARYを指定した場合, または/BINARYも/NOBINARYも指定しない場合には,ASCIIレコードが出力ファイルに格納されます。

/BINARYを指定し,/OUTPUT修飾子を指定しなかったときは,省略時の設定により,AUDIT.AUDIT$JOURNAL という名前の出力ファイルが作成されます。

/BINARY,/BRIEF,/FULL修飾子と併用することはできません。

  1. $ ANALYZE/AUDIT /BINARY/SINCE=TODAY/OUTPUT=25DEC96.AUDIT -
    _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL
    
    本日作成したすべての監査レコードを選択し,バイナリ形式で25DEC96.AUDIT に書き込むコマンド例です。

/BRIEF

ASCII表示で1行だけの簡略レコード形式を使用するかどうかを制御します。

形式

    /BRIEF   (省略時の設定)

キーワード

なし

説明

省略時の設定では,レコードは簡略形式で表示されます。選択した監査イベント・ レコードそれぞれについて詳細に出力するには,/FULLを指定しなければなりません。

/BINARY,/BRIEF,/FULL修飾子と併用することはできません。

  1. $ ANALYZE/AUDIT /OUTPUT=AUDIT.LIS -
    _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL
    
    省略時の簡略形式でASCIIファイルを出力するコマンド例です。出力されたレポートは,AUDIT.LIS ファイルに書き込まれます。

/EVENT_TYPE

セキュリティ・ログ・ファイルから抽出するイベントのクラスを選択します。 この修飾子を指定しなかった場合や,ALLキーワードを指定した場合には, 許可されているすべてのイベント・クラスがレポートに報告されます。

形式

    /EVENT_TYPE=(イベント・タイプ[,...])

キーワード

イベント・タイプ[,...]

レコードを選択するために使用するイベントのクラスを指定します。 次のイベント・タイプを指定できます。

[NO]ACCESS ファイルなどのオブジェクトへのアクセス
[NO]ALL すべてのイベント・タイプ
[NO]AUDIT SET AUDITコマンドの使用
[NO]AUTHORIZATION 登録データベース(SYSUAF.DAT ,RIGHTSLIST.DAT,NETPROXY.DAT,またはNET$PROXY) の変更
[NO]BREAKIN 侵入の検出
[NO]CONNECTION System Managementユーティリティ(SYSMAN),DECwindows,プロセス間通信(IPC) ソフトウェア,またはDECnet Phase IV (VAXのみ) のいずれかによるネットワーク接続の確立
[NO]CREATE オブジェクトの作成
[NO]DEACCESS オブジェクトへのアクセスの終了
[NO]DELETE オブジェクトの削除
[NO]INSTALL Installユーティリティ(INSTALL)による既知ファイル・リストの変更
[NO]LOGFAIL ログインの失敗
[NO]LOGIN ログインの成功
[NO]LOGOUT ログアウトの成功
[NO]MOUNT DCL のMOUNTコマンドまたはDISMOUNTコマンドの実行
[NO]NCP DECnetネットワーク構成データベースの変更
[NO]NETPROXY ネットワーク代理登録ファイル(NETPROXY.DAT またはNET$PROXY.DAT)の変更
[NO]PRIVILEGE 特権の監査
[NO]PROCESS 1つ以上のプロセス制御システム・サービスの使用: $CREPRC,$DELPRC,$SCHDWK,$CANWAK, $WAKE,$SUSPND,$RESUME,$GRANTID, $REVOKID,$GETJPI,$FORCEX,$SETPRI
[NO]RIGHTSDB 権利データベース(RIGHTSLIST.DAT) の変更
[NO]SYSGEN System Generationユーティリティ(SYSGEN)またはAUTOGENによるシステム・パラメータの変更
[NO]SYSUAF システム・ユーザ登録ファイル(SYSUAF.DAT)の変更
[NO]TIME システム時刻またはクラスタ時刻の変更

否定形でイベント・クラスを指定すると(たとえばNOLOGFAIL),指定したイベント・ クラスは監査レポートから除外されます。

  1. $ ANALYZE/AUDIT/EVENT_TYPE=LOGFAIL -
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    この例では,LOGFAILクラスに対応するログイン失敗のすべてのレコードを抽出し, 簡略形式のレポートを作成します。

  2. $ ANALYZE/AUDIT/EVENT_TYPE=(NOLOGIN,NOLOGOUT) -
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    この例では,LOGINおよびLOGOUTイベント・クラスを除き,他のすべての監査レコードのレポートを簡略形式で作成します。

/FULL

ASCII表示で詳細形式を使用するかどうかを制御します。/NOFULLを指定した場合や修飾子を省略した場合, レコードは簡略形式で表示されます。

形式

    /FULL

    /NOFULL   (省略時の設定)

キーワード

なし

説明

省略時の設定では,レコードは簡略形式で表示されます。選択した各レコードの詳細内容を表示するには,/FULL を指定してください(またはCtrl/C を押してコマンド・モードに入る)。

/BINARY,/BRIEF,/FULL修飾子と併用することはできません。

  1. $ ANALYZE/AUDIT /FULL -
    _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL
    
    選択した各レコードの詳細内容を表示するコマンド例です。

/IGNORE

指定した基準を満たすレコードをレポートから除外します。

形式

    /IGNORE= 基準[,...]

キーワード

基準[,...]

指定した除外基準を満たすレコード以外のすべてのレコードを選択することを指定します。/IGNORE 修飾子で使用できる基準については, /SELECT修飾子の説明を参照してください。

説明

/IGNORE修飾子は,特定のグループに属する監査レコードを監査レポートから除外します。 複数の除外基準を指定した場合,省略時の設定では, そのいずれかを満たすレコードは除外されます。

  1. $ ANALYZE/AUDIT/IGNORE=(SYSTEM=NAME=WIPER,USERNAME=MILANT) -
    _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL
    
    ノードWIPERまたは任意のノード上のユーザMILANTが作成した監査ログ・ ファイル内のすべてのレコードを,監査分析レポートから除外するコマンド例です。

  2. $ ANALYZE/AUDIT/IGNORE=SUBTYPE=(DIALUP,REMOTE)
    
    この例のコマンドは,ダイアルアップ・プロセスと遠隔プロセスを除外します。

/INTERACTIVE

ANALYZE/AUDITユーティリティ起動時に会話型コマンド・モードを許可するかどうかを制御します。

形式

    /INTERACTIVE   (省略時の設定)

    /NOINTERACTIVE

キーワード

なし

説明

会話型コマンド・モード(省略時)では,ターミナルに表示されている監査レポートを中断し, レコード選択基準や表示位置を変更するコマンドを入力することができます。

詳細または簡略の監査レポートを中断するには,Ctrl/Cを押してCOMMAND> プロンプトにコマンドを入力します。コマンド・モードに入ると, 現在のレコードが詳細形式で表示されます。このレコードは,前回のANALYZE/AUDIT コマンドで指定した選択または除外の基準を満たさない場合があります。

コマンド・モードの省略時の設定はNEXT RECORDコマンドです。ANALYZE /AUDITでログ・ファイルの終端に達すると,次のコマンドを入力するよう求められます。 現在のログ・ファイル名およびファイル内での位置を確認するには,Ctrl/T を押します。

CONTINUEコマンドを入力すると,会話型コマンド・モードが終了し,監査レポートの表示が再開されます。EXIT コマンドを入力すると,セッションが終了します。 会話型コマンドの説明については,ANALYZE/AUDITコマンドの項を参照してください。

会話型モードを禁止するには,/NOINTERACTIVEを指定します。このモードでは,1 度に1つの監査レコードが表示されます。ここで改行キーを押せば, 次のレコードに進みます。

  1. $ ANALYZE/AUDIT/FULL -
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    選択したレコードの詳細形式表示を出力するのコマンド例です。3秒ごとにレコードが表示されます。 レコード表示時刻の変更方法については,/PAUSE 修飾子の説明を参照してください。表示を中断して会話型コマンドを入力するには,Ctrl/C を押します。

  2. $ ANALYZE/AUDIT/FULL/NOINTERACTIVE -
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    非会話型モードでANALYZE/AUDITユーティリティを起動するコマンド例です。 選択したレコードのうち,最初のレコードが表示されます。ここで改行キーを押せば, 次のレコードが表示されます。選択したすべてのレコードの表示が完了すると,DCL コマンド・レベルに戻ります。

/OUTPUT

ANALYZE/AUDITユーティリティの出力先を指定します。修飾子を省略すると, レポートはSYS$OUTPUTに送られます。

形式

    /OUTPUT [=ファイル指定]

    /NOOUTPUT

キーワード

ファイル指定[,...]

選択したレコードを格納するファイルの名前を指定します。装置とディレクトリを指定しない場合, 現在指定されている装置とディレクトリが使用されます。 ファイル名とファイル・タイプを省略すると,省略時のファイル名AUDIT.LIS が使用されます。出力がバイナリ(/BINARY)であるときに,/OUTPUT 修飾子を指定しなかった場合には,バイナリ情報はAUDIT.AUDIT$JOURNAL ファイルに書き込まれます。

  1. $ ANALYZE/AUDIT /BINARY/OUTPUT=BIN122588.DAT -
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    システム監査ログ・ファイルから監査レコードを選択し,バイナリ・ファイルBIN122588.DAT に書き込むコマンド例です。

/PAUSE

詳細形式で各レコードを表示する時間の長さを指定します。

形式

    /PAUSE =秒数

キーワード

秒数

詳細画面を表示する時間(秒単位)を指定します。0を指定すると, レコードは連続的に表示されます。省略時のレコード表示時間は3秒です。

説明

/PAUSE修飾子を使用できるのは,詳細形式(/FULL)表示だけです。 /PAUSE修飾子は,各レコードの表示時間の長さを指定する修飾子です。省略時のレコード表示時間は3 秒です。0を指定すると,監査レコードは連続的に表示されます。

  1. $ ANALYZE/AUDIT /FULL/PAUSE=1 -
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    選択したレコードを,詳細形式で1秒ごとに表示するコマンド例です。 Ctrl/Cを押せば,表示を中断して会話型コマンドを入力することができます。 詳細については,ANALYZE/AUDITコマンドの項を参照してください。

/SELECT

監査ログ・ファイルのレコードの選択基準を指定します。監査レコードを生成する方法については, 『OpenVMS Guide to System Security』を参照してください。

形式

    /SELECT= 選択基準[,...]

    /NOSELECT

キーワード

選択基準[,...]

レコードの選択基準を指定します。指定した各選択基準に対して,次の2 つの必要条件が適用されます。

たとえば,(USER=(PUTNAM,WU),SYSTEM=DBASE)を指定した場合, SYSTEM=DBASEパケットを含み,値がPUTNAMまたはWUであるUSERパケットを含むイベント・ レコードが選択されます。

/SELECT修飾子を指定しなかった場合には,/EVENT_TYPE修飾子によって選択されたすべてのイベント・ レコードが監査ログ・ファイルから抽出され, レポートに出力されます。

次の選択基準を指定できます。

ACCESS=(タイプ,...)

選択基準となるオブジェクト・アクセス・タイプを指定します。アクセスはオブジェクト固有であり, 次のタイプを指定できます。

Associate Execute Read
Control Lock Submit
Create Logical Use
Delete Manage Write

Physical

これらの各タイプについての説明は,『OpenVMS Guide to System Security』を参照してください。

ACCOUNT=(名前,...)

選択基準となるアカウント名を指定します。名前全体または一部を全部を表現するために, アスタリスク(*)やパーセント記号(%)などのワイルドカードを使用できます。

ALARM_NAME=(アラーム名,...)

選択基準となるアラーム・ジャーナル名を指定します。アラーム名全体または一部を表現するためにワイルドカードを使用できます。

ASSOCIATION_NAME=(IPC名,...)

プロセス間通信(IPC)の関係の名前を指定します。

AUDIT_NAME=(ジャーナル名,...)

選択基準となる監査ジャーナル名を指定します。監査ジャーナル名全体または一部を表現するためにワイルドカードを使用できます。

COMMAND_LINE=(コマンド,...)

ユーザが入力したコマンド行を指定します。

CONNECTION_IDENTIFICATION=(IPC名,...)

プロセス間通信(IPC)の接続の名前を指定します。

DECNET_LINK_IDENTIFICATION=(値,...)

DECnet論理リンクの番号を指定します。

DECNET_OBJECT_NAME=(オブジェクト名,...)

DECnetオブジェクトの名前を指定します。

DECNET_OBJECT_NUMBER=(値,...)

DECnetオブジェクトの番号を指定します。

DEFAULT_USERNAME=(ユーザ名,...)

受信したネットワーク・プロキシ要求の省略時のローカル・ユーザ名を指定します。

DEVICE_NAME=(デバイス名,...)

DEVICE_NAMEパケットを含む監査レコード内のデバイスの名前を指定します。 ファイル名やTARGET_DEVICE_NAMEパケットなど,他のパケット・ タイプに含まれる場合には,デバイス名は選択されません。

DIRECTORY_ENTRY=(ディレクトリ,...)

ファイル・システム操作に関連するディレクトリ・エントリを指定します。

DIRECTORY_NAME=(ディレクトリ,...)

ディレクトリ・ファイルの名前を指定します。

DISMOUNT_FLAGS=(フラグ名,...)

レコードの選択で使用するボリューム・ディスマウント・フラグの名前を指定します。Abort ,Cluster,Nounload,Unitというフラグ名から1 つ以上を指定してください。

EVENT_CLUSTER_NAME=(イベント・フラグ・クラスタ名,...)

イベント・フラグ・クラスタの名前を指定します。

FACILITY=(機能名,...)

指定した名前の機能によって監査されるイベントだけを選択することを指定します。 名前または番号を指定しますが,どちらの場合も,機能は論理名AUDSERV$FACILITY_NAME を使用して10進数で定義しなければなりません。 システムは番号0を使用します。

FIELD_NAME=(フィールド名,...)

変更されたフィールドの名前を指定します。元のデータと新しいデータ(NEW_DATA 選択基準によって指定されるデータ)を含むパケットに対しては,FIELD_NAME 選択基準が使用されます。

ANALYZE/AUDIT/SELECT=FIELD_NAMEコマンドで使用できるFIELD_NAME選択基準にどんなものがあるかをみるためには, 事前に/EVENT修飾子を指定してANALYZE/AUDIT コマンドを実行してみます。このコマンドを実行すると使用できるフィールドが表示されます。

詳しくはSENSITIVE_FIELD_NAMEを参照してください。

FILE_NAME=(ファイル名)

変更されたファイルの名前を指定します。/OBJECT=NAME= オブジェクト名キーワードを使った場合とは少し異なる表示形式で, 指定されたファイルの監査レコードを表示します。

FILE_IDENTIFICATION=(識別値)

ファイルの識別値を指定します。値を計算するには,FILE_NAMEキーワードを使ったときに表示されるファイルID の値を使用します。たとえば, 次のファイルIDが表示されたとします。
     File ID:   (3024,5,0)

この場合,次の公式を使って値を計算することができます。

     ((0 * 65536) + 5 * 65536) + 3024 = 330704

FLAGS=(フラグ名,...)

監査されるイベントに関連する監査イベント・フラグの名前を指定します。 これらの名前はレコードの選択で使用しなければなりません。 ACL,Alarm,Audit,Flush,Foreign,Internal,Mandatoryから1つ以上のフラグを指定してください。 これらのフラグについての説明は,表 F-3 を参照してください。

HOLDER=キーワード(,...)

イベント・レコードを選択するときに使用する識別子保有者の属性を指定します。 次のいずれかのキーワードを選択してください。

NAME=ユーザ名 保有者の名前を指定する。名前全体または名前の一部をワイルドカードで表現できる。
OWNER=UIC 保有者のユーザ識別コード(UIC) を指定する。

IDENTIFIER=キーワード(,...)

イベント・レコードを選択するときに識別子のどの属性を使用するかを指定します。 次のキーワードから選択してください。

ATTRIBUTES=名前 特定の属性の名前を指定する。 指定できる属性名はDynamic,Holder_Hidden,Name_Hidden, NoAccess,Resource,Subsystemシステムである。
NAME=識別子 識別子の元の名前を指定する。 名前全体または一部をワイルドカードで表現できる。
NEW_NAME=識別子 識別子の新しい名前を指定する。 名前全体または一部をワイルドカードで表現できる。
NEW_ATTRIBUTES=名前 新しい属性の名前を指定する。 指定できる属性名はDynamic,Holder_Hidden, Name_Hidden,NoAccess,Resource,Subsystemである。
VALUE=値 識別子の元の値を指定する。
NEW_VALUE=値 識別子の新しい値を指定する。

IDENTIFIERS_MISSING=(識別子,...)

オブジェクトのアクセスの失敗で紛失した識別子を指定します。

IDENTIFIERS_USED=(識別子,...)

オブジェクトにアクセスするときに使用される識別子を指定します。 指定したリストがイベント・レコード内に記録されている識別子のサブセットである場合には, イベント・レコードは一致すると解釈されます。

IMAGE_NAME=(イメージ名,...)

イベント・レコードの選択で使用されるイメージの名前を指定します。 イメージ名全体または一部をワイルドカードで表現できます。

INSTALL=キーワード(,...)

イベント・レコードの選択でインストレーション・イベント・パケットを考慮することを指定します。 次のキーワードから選択してください。

FILE=ファイル名 インストールされているファイルの名前を指定する。 名前全体または一部をワイルドカードで表現できる。

バージョン6.1以前のAlphaシステム,およびバージョン6.0以前のVAX システムでは,監査ログ・ファイルはインストール済みファイル名をオブジェクト名パケット内に記録する。 インストール済みファイルを選択するには,FILE= ファイル名ではなく,OBJECT=(NAME=オブジェクト名) を使用しなければならない。

FLAGS=フラグ名 Installユーティリティ(INSTALL)の修飾子に対応するフラグの名前を指定する。 たとえば,OPENは/OPENに対応する。
PRIVILEGES=特権名 ファイルをインストールするときに使用した特権の名前を指定する。

LNM_PARENT_NAME=(テーブル名,...)

親論理名テーブルの名前を指定します。

LNM_TABLE_NAME=(テーブル名,...)

論理名テーブルの名前を指定します。

LOCAL=(属性,...)

イベント・レコードの選択で使用するローカル(プロキシ)・アカウントの属性を指定します。 次の属性を指定できます。

USERNAME=ユーザ名 ローカル・アカウントの名前を指定する。 名前全体または一部をワイルドカードで表現できる。

LOGICAL_NAME=(論理名,...)

選択基準となるマウントされている(ディスマウントされた)ボリュームの論理名を指定します。 論理名全体または一部をワイルドカードで表現できます。

MAILBOX_UNIT=(ユニット番号,...)

メールボックス・ユニットの番号を指定します。

MOUNT_FLAGS=(フラグ名,...)

選択基準となるボリューム・マウント・フラグの名前を指定します。 指定できるフラグ名は次のとおりです。
CACHE=(NONE,WRITETHROUGH)
CD-ROM
CLUSTER
COMPACTION
DATACHECK=(READ,WRITE)
DSI
FOREIGN
GROUP
INCLUDE
INITIALIZATION=(ALLOCATE,CONTINUATION)
MESSAGE
NOASSIST
NOAUTOMATIC
NOCOMPACTION
NOCOPY
NOHDR3
NOJOURNAL
NOLABEL
NOMOUNT_VERIFICATION
NOQUOTA
NOREBUILD
NOUNLOAD
NOWRITE
OVERRIDE=(オプション[,...])
      { ACCESSIBILITY    }
      { EXPIRATION       }
      { IDENTIFICATION   }
      {                  }
      { LIMITED_SEARCH   }
      { LOCK             }
      { NO_FORCED_ERROR  }
      {                  }
      { OWNER_IDENTIFIER }
      { SECURITY         }
      { SETID   
} { }
QUOTA
SHARE
SUBSYSTEM
SYSTEM
TAPE_DATA_WRITE
XAR

NOLABELとFOREIGNは,それぞれFOREIGNフラグを指しています。これは,MOUNT/NOLABEL コマンドとMOUNT/FOREIGNコマンドが,どちらもFOREIGN フラグを設定するためです。したがって,MOUNT/NOLABELを使用し,ANALYZE/AUDIT/SELECT/MOUNT_FLAGS=NOLABEL を使用すると,監査レコードはFOREIGN フラグを表示します。

NEW_DATA=(値,...)

イベントが発生した後で使用する値を指定します。この選択基準はFIELD_NAME 選択基準と組み合わせて使用します。

詳しくはSENSITIVE_NEW_DATAを参照してください。

NEW_IMAGE_NAME=(イメージ名,...)

新しく生成されたプロセスで起動するイメージの名前を指定します。 この名前は$CREPRCシステム・サービスに渡されます。

NEW_OWNER=(uic,...)

生成されるプロセスに割り当てるユーザ識別コード(UIC)を指定します。 この値は$CREPRCシステム・サービスに渡されます。

OBJECT=キーワード(,...)

イベント・レコードの選択でどのオブジェクト属性を使用するかを指定します。 次のキーワードから選択してください。

CLASS=クラス名 次のいずれかの汎用オブジェクト・ クラスを指定する。
Capability
Device
Event_cluster
File
Group_global_section
Logical_name_table
Queue
Resource_domain
Security_class
System_global_section
Volume
完全なクラス名( たとえばCLASS=logical_name_table)を入力するか,またはクラス名の一部としてワイルドカード文字を使用する( たとえばCLASS=log*) 。
NAME=オブジェクト名 オブジェクトの名前を指定する。名前全体または一部をワイルドカードで表現できる。 ワイルドカードを使用しない場合には, 完全なオブジェクト名を指定する(たとえば,_BOSTON$DUA0:[RWOODS]MEMO.MEM;1) 。
OWNER=値 オブジェクトの汎用識別子またはUICを指定する。
TYPE=タイプ 汎用オブジェクト・ クラス(オブジェクトのタイプ)を指定する。指定できるクラスは次のとおりである。
Capability
Device
File
Group_global_section
Logical_name_table
Queue
System_global_section
CLASSキーワードはTYPEキーワードの代わりに使用する。しかし, OpenVMS Alphaバージョン6.1以前,およびOpenVMS VAXバージョン6.0以前で作成されたファイルの監査レコードを選択するには,TYPE キーワードが必要である。

PARENT=キーワード(,...)

サブプロセスで生成されたイベント・レコードを選択するときに,親プロセスのどの属性を使用するかを指定します。 次のキーワードから選択してください。

IDENTIFICATION=値 親プロセスのプロセス識別子(PID) を指定する。
NAME=プロセス名 親プロセスの名前を指定する。 名前全体または一部をワイルドカードで表現できる。
OWNER=値 親プロセスの所有者(識別子の値)を指定する。
USERNAME=ユーザ名 親プロセスのユーザ名を指定する。 名前全体または一部をワイルドカードで表現できる。

PASSWORD=(パスワード,...)

システムが侵入を検出したときに使用するパスワードを指定します。

PRIVILEGES_MISSING=(特権名,...)

操作を正しく実行するのに必要な特権を指定します。『OpenVMS Guide to System Security』の説明に従って,システム特権を指定してください。

PRIVILEGES_USED=(特権名,...)

イベント・レコードの選択で使用するプロセスの特権を指定します。 『OpenVMS Guide to System Security』の説明に従って,システム特権を指定してください。選択基準にSTATUS キーワードも指定すれば,操作の正常終了または異常終了に特権が関与したかどうかをレポートで示すことができます。

PROCESS=(属性,...)

イベント・レコードの選択で使用するプロセスの属性を指定します。 次の属性から選択してください。

IDENTIFICATION=値 プロセスのPIDを指定する。
NAME=プロセス名 プロセスの名前を指定する。 名前全体または一部をワイルトカードで表現できる。

REMOTE=キーワード(,...)

イベント・レコードの選択でネットワーク要求の一部の属性を使用することを指定します。 次のキーワードから選択してください。

ASSOCIATION_NAME=IPC名 プロセス間通信(IPC) の関係名を指定する。
LINK_IDENTIFICATION=値 DECnet論理リンクの番号を指定する。
IDENTIFICATION=値 DECnetノード・アドレスを指定する。
NODENAME=ノード名 DECnetノード名を指定する。 名前全体または一部をワイルドカードで表現できる。
USERNAME=ユーザ名 遠隔ユーザ名を指定する。 遠隔ユーザ名全体または一部をワイルドカードで表現できる。

REQUEST_NUMBER=(値,...)

DCLのREQUEST/REPLYに対応する要求番号を指定します。

SECTION_NAME=(グローバル・セクション名,...)

グローバル・セクションの名前を指定します。

SENSITIVE_FIELD_NAME=(フィールド名,...)

変更したフィールドの名前を指定します。ANALYZE/AUDITコマンドは例えばPASSWORDS 等のSENSITIVE_FIELD_NAME選択基準を旧データと新規データ(SENSITIVE_NEW_DATA 選択基準によって指定されます)を含むパケットとともに使用します。

SENSITIVE_NEW_DATA=(値,...)

イベントが発生したあとに使用する値を指定します。この選択基準はSENSITIVE_FIELD_NAME 選択基準とともに指定します。

SNAPSHOT_BOOTFILE=(ファイル名,...)

システム・スナップ・ショットを登録したファイルの名前を指定します。

SNAPSHOT_SAVE_FILENAME=(ファイル名,...)

実行中のセーブ操作のシステム・スナップショット・ファイルの名前を指定します。

STATUS=タイプ(,...)

イベント・レコードの選択で使用する正常終了状態のタイプを指定します。 次の状態タイプから選択してください。

SUCCESSFUL 正常終了状態を指定する。
FAILURE 異常終了状態を終了する。
CODE=(値,...) 特定の終了状態を指定する。

SUBJECT_OWNER=(uic,...)

イベントの原因となったプロセスの所有者(UIC)を指定します。

SUBTYPE=(subtype,...)

制限のある基準をサブタイプとして指定されている値に指定します。

有効なサブタイプの値については表 F-2 を参照してください。

SYSTEM=キーワード(,...)

イベント・レコードの選択で使用するシステムの属性を指定します。 次のキーワードから選択してください。

IDENTIFICATION=値 システムの数値識別を指定する。
NAME=ノード名 システムのノード名を指定する。

SYSTEM_SERVICE_NAME=(サービス名,...)

イベントに関連するシステム・サービスの名前を指定します。

TARGET_DEVICE_NAME=(デバイス名,...)

プロセス制御システム・サービスで使用するターゲット・デバイスの名前を指定します。

TARGET_PROCESS_IDENTIFICATION=(値,...)

プロセス制御システム・サービスで使用するターゲット・プロセスの識別子(PID) を指定します。

TARGET_PROCESS_NAME=(プロセス名,...)

プロセス制御システム・サービスで使用するターゲット・プロセス名を指定します。

TARGET_PROCESS_OWNER=(UIC,...)

プロセス制御システム・サービスで使用するターゲット・プロセスの所有者(UIC) を指定します。

TARGET_USERNAME=(ユーザ名,...)

プロセス制御システム・サービスで使用するターゲット・ユーザ名を指定します。

TERMINAL=(デバイス名,...)

イベント・レコードの選択で使用するターミナルの名前を指定します。 ターミナル名全体または一部をワイルドカードで表現できます。

TRANSPORT_NAME=(トランスポート名,...)

トランスポートの名前を指定します。プロセス間通信(IPC),システム管理インテグレータ(SMI) のいずれかを指定してください。これはシステム・ マネージメント・ユーティリティからの要求を取り扱います。

VAXシステムでは,DECnetトランスポート名(NSP)を指定することもできます。

USERNAME=(ユーザ名,...)

イベント・レコードの選択で使用するユーザ名を指定します。ユーザ名全体または一部をワイルドカードで表現できます。

VOLUME_NAME=(ボリューム名,...)

イベント・レコードの選択で使用するマウントされている(またはディスマウントされた) ボリュームの名前を指定します。ボリューム名全体または一部をワイルドカードで表現できます。

VOLUME_SET_NAME=(ボリューム・セット名,...)

イベント・レコードの選択で使用するマウントされている(またはディスマウントされた) ボリューム・セットの名前を指定します。ボリューム・ セット名全体または一部をワイルドカードで表現できます。

  1. $ ANALYZE/AUDIT /FULL/SELECT=USERNAME=JOHNSON -
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    この例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち, ユーザJOHNSONが作成したすべてのレコードを選択します。

  2. $ ANALYZE/AUDIT/FULL/SELECT=PRIVILEGES_USED=(SYSPRV,-
    _$ BYPASS)  SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    この例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち,SYSPRV 特権またはBYPASS特権を使用してイベントによって作成されたすべてのレコードを選択します。

  3. $ ANALYZE/AUDIT/FULL/EVENT=SYSUAF/SELECT= -
    _$ IMAGE=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") -
    _$ SYS$MANAGER:SECURITY
    
    この例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち, パスワードの変更に関係するすべてのレコードを選択します。

    次の例はコマンド・プロシージャであり,夜間に実行することにより, すべてのSYSUAFイベント,AUDITイベント,BREAKINイベント(パスワードの変更を除く) を選択し,結果をシステム管理者にメールとして送信できます。

         $! DAILY_AUDIT.COM
         $
         $   mail_list = "SYSTEM"
         $   audsrv$_noselect = %X003080A0
         $   audit_events = "SYSUAF,BREAKIN,AUDIT"
         $
         $   analyze /audit /full -
          /event=('audit_events') -
          /output=audit.tmp -
          /ignore=image=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") -
          sys$manager:SECURITY.AUDIT$JOURNAL
         $
         $   status = $status
         $   if (status.and.%XFFFFFFF) .eq. audsrv$_noselect then goto no_records
         $   if .not. status then goto error_analyze
         $   if f$file("audit.tmp","eof") .eq. 0 then goto no_records
         $   mail /subject="''audit_events' listing from ''f$time()'" -
          audit.tmp 'mail_list'
         $   goto new_log
         $
         $ no_records:
         $   mail /subject="No interesting security events" nl: 'mail_list'
         $
         $ new_log:
         $   if f$search("audit.tmp") .nes. "" then delete audit.tmp;*
         $   set audit /server=new_log
         $   rename sys$manager:SECURITY.AUDIT$JOURNAL;-1 -
          sys$common:[sysmgr]'f$element(0," ",f$edit(f$time(),"TRIM"))'
         $   exit
         $
         $ error_analyze:
         $   mail/subj="Error analyzing auditing information" nl: 'mail_list'
         $   exit
    

/SINCE

指定した時刻より後の日付を持つレコードを処理することを指定します。

形式

    /SINCE [=時刻]

    /NOSINCE

キーワード

時刻

レコード選択時に使用する時刻を指定します。指定した時刻より後の日付を持つレコードが選択されます。 絶対時刻とデルタ時間のどちらでも使用できます。 また,絶対時刻とデルタ時間を組み合わせることもできます。 日付と時刻の構文規則については,『OpenVMSユーザーズ・マニュアル』を参照してください。

/SINCEに時刻を指定しない場合,現在の日時の始まり が使用されます。

  1. $ ANALYZE/AUDIT /SINCE=25-NOV-1998 -
    _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL
    
    日付が1998年11月25日より後のレコードを選択するコマンド例です。

  2. $ ANALYZE/AUDIT /SINCE=25-NOV-1998:15:00 -
    _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL
    
    1998年11月25日午後3 時より後に書き込まれたレコードを選択するコマンド例です。

/SUMMARY

選択したすべてのレコードの処理の終了後,要約を出力することを指定します。

/SUMMARY修飾子は単独でも使用できますが,/BRIEF,/BINARY,/FULL修飾子と組み合わせることもできます。

形式

    /SUMMARY =プレゼンテーション

    /NOSUMMARY

キーワード

プレゼンテーション

要約のプレゼンテーションを指定します。プレゼンテーション基準を指定しない場合, 監査回数が出力されます。

次のいずれかのプレゼンテーションを指定できます。

COUNT

セキュリティ監査ログ・ファイルから抽出した監査メッセージの数を, セキュリティ・イベント・クラスごとにリストします。これは省略時の設定です。

PLOT

監査イベントのクラス,監査を実行した時刻,監査を実行したシステムの名前を示すプロットを表示します。

  1. $ ANALYZE/AUDIT/SUMMARY SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    このVAXシステムの例では,処理されたすべてのレコードの要約レポートが作成されます。
         Total records read:        9701          Records selected:          9701
         Record buffer size:        1031
         Successful logins:          542          Object creates:            1278
         Successful logouts:         531          Object accesses:           3761
         Login failures:              35          Object deaccesses:         2901
         Breakin attempts:             2          Object deletes:             301
         System UAF changes:          10          Volume (dis)mounts:          50
         Rights db changes:            8          System time changes:          0
         Netproxy changes:             5          Server messages:              0
         Audit changes:               7          Connections:                  0
         Installed db changes:        50          Process control audits:       0
         Sysgen changes:               9          Privilege audits:            91
         NCP command lines:          120
    

  2. $ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY-
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    この例では,侵入クラスまたはログ失敗イベント・クラスに対応するすべての記録された監査メッセージの詳細な形式の一覧が作成されます。 リストの最後に要約レポートも出力されます。

  3. $ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY=PLOT -
    _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
    
    このコマンドで作成されるヒストグラムはキャラクタ・セル・ターミナルに表示できます。

4.4 ANALYZE/AUDITのコマンド

この項では,ANALYZE/AUDITユーティリティで使用できる会話型コマンドについて説明します。 修飾子は,DCLの標準文法に従って指定してください。

ANALYZE/AUDITユーティリティは,省略時の設定では会話形式で実行します。 会話形式を禁止するには,ANALYZE/AUDITコマンドに/NOINTERACTIVE 修飾子を付けます。詳細形式と簡略形式のいずれの会話型表示でも, Ctrl/Cを押すことによって,いつでも会話型コマンドを入力できます。次のコマンドはすべて,COMMAND> プロンプトに入力できます。イベント・レコード処理を再開するには,CONTINUE コマンドを使用します。セッションを終了するには,EXIT コマンドを使用します。

CONTINUE

イベント・レコードの処理を再開します。

形式

    CONTINUE

パラメータ

なし

修飾子

なし

  1. COMMAND> DISPLAY/SINCE=25-JAN-1998/SELECT=USERNAME=JOHNSON
    COMMAND> CONTINUE
    
    最初のコマンドは,1998年1月25日より後にユーザJOHNSONが作成したイベント・ レコードだけを選択しています。次のコマンドは,別の選択基準に従ってレポートを表示しています。

DISPLAY

イベント・レコード選択基準を変更します。

形式

    DISPLAY

パラメータ

なし

次の修飾子の詳細については,前述のANALYZE/AUDITの修飾子の項を参照してください。

修飾子

/BEFORE=時刻

指定した時刻より前の日付を持つレコードだけを選択するかどうかを制御します。

/BRIEF

簡略(1つのレコードにつき1行)形式をASCII表示で使用するかどうかを制御します。

/EVENT_TYPE=イベント・タイプ[,...]

指定したイベント・タイプに属するレコードだけを選択するかどうかを制御します。

/FULL

ASCII表示において,各レコードに詳細形式を使用するかどうかを制御します。

/IGNORE=基準[,...]

指定した基準を満たすレコードを除外するかどうかを制御します。 /IGNOREを複数回指定すれば,複数の基準を指定できます。別の除外基準を指定するには,/IGNORE 修飾子と/REMOVE修飾子を併用できます。

/PAUSE=秒数

詳細形式表示(/FULL)において,各レコードを表示する時間の長さを指定します。

/REMOVE

/IGNOREと/SELECTの修飾子で指定した基準を,イベント・レコード選択基準として使用しないようにするかどうかを制御します。

/SELECT=基準[,...]

指定した基準を満たすレコードだけを選択するかどうかを制御します。/SELECT を複数回指定すれば,複数の基準を指定できます。別の選択基準を指定するには,/SELECT 修飾子と/REMOVE修飾子を併用します。

/SINCE[=時刻]

指定した時刻より後の日付を持つレコードだけを選択するかどうかを制御します。

  1. COMMAND> DISPLAY/EVENT_TYPE=SYSUAF
    COMMAND> CONTINUE
    
    最初のコマンドは,システム・ユーザ登録ファイル(SYSUAF)を変更した結果作成されたレコードを選択しています。 次のコマンドは,選択したレコードを表示しています。

  2. COMMAND> DISPLAY/SELECT=USERNAME=CRICK
    COMMAND> CONTINUE
       .
       .
       .
    <Ctrl/C>
    
    COMMAND> DISPLAY/SELECT=USERNAME=WATSON
    COMMAND> CONTINUE
    
    最初のDISPLAYコマンドは,ユーザCRICKが作成したレコードを選択しています。 次のコマンドは,選択したレコードを表示しています。2番目のDISPLAY コマンドは,ユーザWATSONが作成したレコードを選択しています。 最後のコマンドは,ユーザCRICKとWATSONが作成したすべてのレコードを表示しています。

EXIT

セッションを終了します。

形式

    EXIT

パラメータ

なし

修飾子

なし

HELP

ANALYZE/AUDITコマンドの使い方に関するヘルプ情報をオンラインで出力します。

形式

    HELP   [項目]

パラメータ

項目

どのコマンドのヘルプ情報を表示するかを指定します。キーワードを省略すると, ヘルプ項目リストが表示されるので,キーワードを入力してください。

修飾子

なし

  1. COMMAND> HELP DISPLAY
    
    DISPLAYコマンドのヘルプ情報を表示するコマンド例です。

LIST

イベント・レコード選択基準を変更します。このコマンドは,DISPLAYコマンドと同じです。

形式

    LIST

パラメータ

なし

修飾子

DISPLAYコマンドの説明を参照してください。

  1. COMMAND> LIST/EVENT_TYPE=SYSUAF
    COMMAND> CONTINUE
    
    最初のコマンドは,システム・ユーザ登録ファイル(SYSUAF)を変更した結果作成されたレコードを選択しています。 次のコマンドは,選択したレコードを表示しています。

NEXT FILE

現在のセキュリティ監査ログ・ファイルをクローズして次のログ・ ファイルをオープンするかどうかを制御します。このコマンドは,*.AUDIT$JOURNAL のように,ANALYZE/AUDITコマンドでワイルドカード・ ファイル指定を行うときに便利です。別の監査ログ・ファイルをオープンしない場合, 監査分析セッションは終了し,制御はDCLに戻ります。

形式

    NEXT FILE

パラメータ

なし

修飾子

なし

NEXT RECORD

次の監査レコードを表示するかどうかを制御します。NEXT RECORDコマンドは, 対話形式モードの省略時の設定です。

このコマンドは,POSITIONコマンドと同じです。

形式

    NEXT RECORD

パラメータ

なし

修飾子

なし

POSITION

詳細形式表示を,指定した数のイベント・レコード分だけ前方または後方に移動します。

形式

    POSITION   数

パラメータ

正の数を指定すると,現在のレコードより指定した数だけ後方にあるレコードが表示されます。 負の数を指定すると,現在のレコードより指定した数だけ前方にあるレコードが表示されます。

修飾子

なし

  1. COMMAND> POSITION 100
    
    100個のイベント・レコード分だけ,表示を前方に移動するコマンド例です。

  2. COMMAND> POSITION -100
    
    100個のイベント・レコード分だけ,表示を後方に移動するコマンド例です。

SHOW

イベント・レコードの選択に現在使用されている選択または除外の基準に関する情報を表示します。

形式

    SHOW   オプション[,...]

パラメータ

オプション[,...]

レコードの選択に現在使用されている選択または除外の基準に関する情報を表示します。

ALL イベント・レコードの選択に使用されているすべての基準を表示する。
EXCLUSION_CRITERIA イベント・レコードの除外に使用されている基準を表示する。
SELECTION_CRITERIA イベント・レコードの選択に使用されている基準を表示する。

修飾子

なし

  1. COMMAND> SHOW SELECTION_CRITERIA
    
    レコードの選択に現在使用されている選択基準を表示するコマンド例です。


[ 前のページ ] [ 次のページ ] [ 目次 ] [ 索引 ] [ DOC Home ]