前へ | 次へ | 目次 | 索引 |
現在の会計情報ファイルを制御します。OPER (オペレータ) 特権が必要です。
SET ACCOUNTING
システムのノードごとに,現在の会計情報ファイルがあります。このファイルでどの資源を追跡するかを制御し, SET ACCOUNTING コマンドを使用してこのファイルの新しいバージョンを起動できます。SET ACCOUNTINGコマンドを実行しても,プロセスによって使用される資源が追跡されない場合が2つあります。
- /NOACCOUNTING 修飾子を指定した RUN (プロセス) コマンドを使用する場合
- PRC$M_NOACNT 状態フラグをセットした $CREPRC システム・サービスを使用する場合
同様に,SET ACCOUNTING コマンドを実行しても,イメージによって使用される資源が常に追跡される場合が1つあります。
- Install ユーティリティの /ACCOUNTING 修飾子を使用して,イメージをインストールする場合
SET ACCOUNTING コマンドの使用方法についての詳細は,『Compaq OpenVMS システム管理者マニュアル』を参照してください。
/DISABLE[=(キーワード[,...])]
キーワードで指定された資源について,その会計情報の収集を禁止します。資源タイプを指定するために使用できるキーワードを, 表 DCLII-16 に示します。
表 DCLII-16 資源タイプの指定に使用するSET ACCOUNTINGキーワード キーワード 資源タイプ IMAGE イメージで使用される資源 LOGIN_FAILURE ログイン失敗時に使用される資源 MESSAGE $SNDJBC システム・サービスで会計情報ファイルに書き込まれる非定形の資源記録 プリント・ジョブで使用される資源 PROCESS プロセスで使用される資源
すべてのプロセスやイメージについての会計情報収集を禁止する必要はありません。特定のプロセスや,そのプロセス内で実行されるイメージについて,資源情報収集を禁止することができます。
プロセス・タイプを指定するために使用できるキーワードを, 表 DCLII-17 に示します。
表 DCLII-17 プロセス型の指定に使用するSET ACCOUNTING キーワード キーワード プロセス型 BATCH バッチ・プロセス DETACHED 独立プロセス INTERACTIVE 会話型プロセス NETWORK ネットワーク・プロセス SUBPROCESS サブプロセス(親プロセスは,バッチ,独立,ネットワーク,または会話型プロセス)
すべての資源について会計情報収集を行わないようにシステムが設定された場合, /DISABLE 修飾子は会計情報ファイルをクローズします。
/DISABLE 修飾子にキーワードを指定しなかった場合,会計情報の収集はすべて禁止され,会計情報ファイルはクローズされます。
/ENABLE[=(キーワード[,...])]
指定された資源の追跡を可能にし,現在の会計情報ファイルがオープンされていない場合にはオープンします。 /ENABLE修飾子は,/DISABLE修飾子と同じキーワードを使用します。表 DCLII-16 に示されているキーワードを使用して,ローカル・ノードで現在の会計情報ファイルを追跡したい資源タイプを指定します。
プロセスまたはイメージ・タイプが使用する資源が追跡される場合には, 表 DCLII-17 に示されるキーワードを使用して,指定されたプロセス・タイプの資源,およびこれらのプロセス・タイプで実行されているイメージを追跡できます。
/ENABLE修飾子を使用する場合にキーワードを省略すると,現在の会計情報ファイルはすべての資源を追跡します。
/LOG
現在の SYS$OUTPUT に,コマンド実行情報を出力します。/NEW_FILE
現在の会計情報ファイルをクローズし,新しいバージョンをオープンします。新ファイルのファイル名は,システム論理名テーブルに論理名 ACCOUNTING が定義されているかどうかによって決まります。
この論理名が定義されていない場合には,SET ACCOUNTINGコマンドは, SYS$MANAGER:ACCOUNTNG.DAT というファイルをオープンします。
この論理名が定義されている場合には,論理名の示すファイルをオープンします。ディレクトリ名が省略された場合には,SYS$MANAGER: が使用され,ファイル・タイプが省略された場合には,DAT が使用されます。
/NEW_FILE 修飾子は,古いファイルに前方参照レコードを書き込み,新しいファイルには後方参照レコードを書き込みます。これらのレコードはそれぞれ,新しいファイルと古いファイルの名前を含んでいます。
#1 |
---|
$ SET ACCOUNTING /DISABLE /ENABLE=(PROCESS,BATCH,INTERACTIVE) $ SET ACCOUNTING /ENABLE=IMAGE |
この例では,すべてのバッチ・プロセスと会話型プロセスでのみ使用される資源と,それらの中で実行されるイメージについてのみ,会計情報を収集します。 /ENABLE修飾子,/DISBALE 修飾子,およびSET ACCOUNTINGコマンドを使用した場合の効果を示しています。
/DISABLE 修飾子は,すべての資源の情報収集を禁止します。その後で,/ENABLE 修飾子でバッチと会話型プロセスで使用される資源の会計情報を収集します。2番目の SET ACCOUNTING コマンドは,イメージで使用される資源の会計情報の収集を指定しています。
#2 |
---|
$ SET ACCOUNTING /NEW_FILE $ RENAME SYS$MANAGER:ACCOUNTNG.DAT;-1 WEEK_24_RESOURCES.DAT |
この例では,現在の会計情報ファイルをクローズし,新しいバージョンを作成します。古い方のファイル名は,WEEK_24_RESOURCES.DATに変更されます。
機密保護監査システムの管理インターフェイスを提供します。SECURITY 特権が必要です。
SET AUDIT/修飾子
SET AUDIT コマンドと SHOW AUDIT コマンドは,機密保護監査システムとの管理インタフェースを提供します。SET AUDIT コマンドは,機密保護監査機能を許可または禁止します。また,次の操作もできます。
- 監査するイベントのカテゴリを選択する。
- 監査サーバの動作属性を変更する。
- 監査ジャーナルおよび機密保護アーカイブ・ファイルの記憶位置を設定する。
- ディスク資源の監視を制御する。
コマンドで設定された値は保管されるため,システムを起動するたびに設定する必要はありません。イベントの定義,資源の監視,および新しいログを開始するためのコマンドはクラスタ全体に適用されますが,他のコマンドはローカル・ノードだけに適用されます。
機密保護監査機能には,特定量のシステム・オーバーヘッドが必要です。したがって,作業環境に最も有用な機能を選択するよう注意してください。定期的に調査し,解析することがわかっている情報の監査だけを有効にしてください。他のデータの集合は,無駄になる可能性が高いです。監査についての詳細は,『OpenVMS Guide to System Security』を参照してください。
SET AUDIT コマンドの修飾子には,処理別にグループ分けすると5 つの区分があります。
処理 修飾子 必要条件 監査イベントの定義 /AUDIT, /ALARM, /CLASS, /ENABLE, /DISABLE 警報 (/ALARM),監査 (/AUDIT) ,または両方を定義します。同時に,イベント報告を許可するのか(/ENABLE),あるいは禁止するのか(/DISABLE) を指定します。 監査ログ・ファイルの定義 /DESTINATION, /JOURNAL, /VERIFY /DESTINATION および /JOURNAL 修飾子の両方が必要です。 監査サーバおよびリスナ・メールボックスの操作特性の定義 /INTERVAL, /LISTENER, /SERVER, /VERIFY なし。 2次ログ・ファイルの定義 /ARCHIVE, /DESTINATION, /VERIFY なし。 資源監視の省略時設定の定義 /BACKLOG, /EXCLUDE, /JOURNAL,/RESOURCE, /THRESHOLD, /VERIFY /RESOURCE または /THRESHOLD 修飾子とともに,/JOURNAL 修飾子を含めます。
/ALARM
機密保護オペレータとして設定されているすべてのターミナルに,警報メッセージを送ります。ターミナルを機密保護オペレータとして設定する方法についての詳細は, DCL コマンドである REPLY/ENABLE の説明を参照してください。/ARCHIVE=[キーワード,...]
機密保護アーカイブ・ファイルへ書き込むイベント・メッセージのクラスを指定します。次に示す 1 つまたは複数のキーワードを指定します。
オプション・キーワード 説明 NONE アーカイブを禁止します。 [NO]ALL (省略時の設定) 全システム・セキュリティ・イベントに対してアーカイブを許可/禁止します。省略時の設定では,禁止されています。 SYSTEM_ALARM 全システム警報イベントのアーカイブを許可します。 SYSTEM_AUDIT 全システム監査イベントのアーカイブを許可します(将来使用するために予約されています)。
複数のノードが監査ファイルを排他的にオープンしようとするので,監査サーバ・データベースを持つ OpenVMS Cluster 内では 1 つのノードだけでアーカイブしてください。
/AUDIT
監査(システム機密監査ログファイルに記録されているメッセージ) にコマンドを適用します。/BACKLOG=[キーワード[,...]]
プロセスメッセージの上限を越えたプロセスをサスペンドするしきい値を指定します。しきい値は,メモリ内の全メッセージとプロセスに関するメッセージの総数です。特定のプロセスをサスペンドさせたくない場合, /EXCLUDE修飾子を使用して除外してください。次のキーワードを指定します。
オプション・キーワード 説明 TOTAL=(n1,n2,n3) 流量制御が働きだす値およびその制御を加速する値。詳細は以下の説明を参照。 PROCESS=(p1,p2) 流量制御がサスペンドするプロセスを選択する際のプロセスメッセージの値。
メッセージの総数 省略時の設定 プロセス・メッセージ 省略時の設定 動作 N1 100 P1 5 メモリ内に 100 メッセージある場合,機密監査サーバは 5 以上のプロセスメッセージを持つプロセスを全メッセージがディスクに書き出されるまでサスペンドさせる。 N2 200 P2 2 メモリ内に 200 メッセージある場合,機密監査サーバは 2 以上のプロセスメッセージを持つプロセスを全メッセージがディスクに書き出されるまでサスペンドさせる。 N3 300 機密監査サーバはメモリ内に 1 以上のプロセスメッセージを持つプロセスを全メッセージがディスクに書き出されるまでサスペンドさせる。
/CLASS=クラス
監査属性を変更するオブジェクトのクラスを指定します。 /CLASS を指定しない場合,クラスはファイルになります。次に示すキーワードのうちいずれか 1 つを指定してください。CAPABILITY
COMMON_EVENT_CLUSTER
DEVICE
FILE
GROUP_GLOBAL_SECTION
LOGICAL_NAME_TABLE
QUEUE
RESOURCE_DOMAIN
SECURITY_CLASS
SYSTEM_GLOBAL_SECTION
VOLUME/DESTINATION=ファイル指定
イベント・メッセージの出力先を変更する際に,システム機密保護監査ログ・ファイルの新しい場所を指定します。ファイル指定に装置を含める場合には,必ずディスク装置でなければなりません。この場合には,/DESTINATION修飾子とともに /JOURNAL 修飾子を指定しなければなりません。ログ・ファイルの場所を変更した場合には,クラスタ内のすべてのノードに新しい場所を通知するため, SET AUDIT/SERVER=NEW_LOG コマンドを実行してください。以前の監査ログ・ファイルはクローズされ,クラスタ内で生成された以後のすべての監査イベント・メッセージは,新しいファイルに書き込まれます。
/ARCHIVE とともに使用される場合には,アーカイブ・ログ・ファイルの名前を指定します。ファイル構造のディスク装置であれば,イベントはローカル・ファイルにでも,あるいは遠隔ファイルにでもアーカイブできます。たとえば,イベント・メッセージの出力先をサテライト・ノードからクラスタのより大きなノードに変更するために,アーカイブ・ファイルを使用することができます。
/DISABLE=(キーワード[,...])
指定したイベントに対して,警報/機密保護監査を禁止します。 ALL キーワードを指定すれば,すべてのイベントに対して,警報/機密保護監査を無効にすることができます。有効なキーワードを少なくとも 1 つは指定しなければなりません。 /DISABLE 修飾子で使用できるキーワードについては, /ENABLE 修飾子の説明を参照してください。 /DISABLE 修飾子を使用する際には, /ALARM または /AUDIT 修飾子のいずれか,または両方を指定しなければなりません。
注意
SET AUDIT コマンドを処理するときに,システムは, /DISABLE 修飾子を最後に処理します。したがって,同じコマンド行に,/ENABLE と /DISABLE の両方を指定した場合には, /DISABLE 修飾子は有効とされた項目を無効とします。 /ENABLE 修飾子および /DISABLE 修飾子を指定する場合は,異なるコマンド行を使用して指定することをおすすめします。
/ENABLE=(キーワード[,...])
指定したイベントに対して,警報/機密保護監査を許可します。 ALL キーワードを指定すれば,すべてのイベントに対して,警報/機密保護監査を有効にすることができます。少なくとも,1 つのキーワードを指定しなければなりません。 /ENABLE 修飾子を使用する際には,/ALARM または /AUDIT 修飾子のどちらか,または両方を指定しなければなりません。/ENABLE 修飾子,または /DISABLE 修飾子に指定できるキーワードは,次のとおりです。
キーワード 説明 ACCESS=(キーワード
[:アクセス[,...]] [,...])クラス内の全オブジェクトに対するアクセス・イベントの発生を指定します。オブジェクト 1 つだけの場合の機密監査 ACE を使用し,アクセス制御リスト (ACL)カテゴリを有効にしてください。 監査機能を条件付きで有効にする場合,起こり得るすべてのアクセスタイプに対して有効にするようにしてください。これは,システムは幾つかのポイントでアクセスチェックを行うことができるからです (たとえば,FAILURE は読みまたは書き込み操作中に発生し得ます)。
キーワード 説明 ALL 下記のキーワードによって定義される,オブジェクト・アクセス・イベントのすべてのタイプ。 BYPASS BYPASS 特権を使用して行われたオブジェクト・アクセス。 FAILURE オブジェクト・アクセスの失敗。 GRPPRV GRPPRV 特権を使用して行われたオブジェクト・アクセス。 READALL READALL 特権を使用して行われたオブジェクト・アクセス。 SUCCESS オブジェクト・アクセスの成功。 SYSPRV SYSPRV 特権を使用して行われたオブジェクト・アクセス。 アクセス・キーワード 説明 ALL 全アクセス ASSOCIATE 関係づけアクセス CONTROL 機密特性を変更する制御アクセス CREATE 作成アクセス DELETE 削除アクセス EXECUTE 実行アクセス LOCK ロックアクセス LOGICAL 論理 I/O アクセス MANAGE 管理アクセス PHYSICAL 物理 I/O アクセス READ 読み込みアクセス SUBMIT サブミットアクセス WRITE 書き込みアクセス
ACL アクセス制御リスト(ACL)の警報/機密保護監査 ACE によるイベントを指定します。クラス内の全オブジェクトを指定する場合は ACCESS キーワードを使用してください。 ALL 全システム/ファイル・アクセス・イベントを指定します。 FILE 以外のオブジェクトに対するアクセスイベントは有効にされません。 AUDIT=キーワード 機密監査サブシステム内のイベントを指定します。現在は 1 キーワードのみ定義可能です。
キーワード 説明 ILLFORMED $AUDIT_EVENT, $CHECK_PRIVILEGE, $CHKPRO, または $CHECK_ACCESS システム・サービスに対する不適切な形式の呼び出し(NSA$M_INTERNAL で識別)。このイベントは,特権付きコードによりこれらのシステムサービスに与えられる,不完全あるいは文法的に間違った引数によって引き起こされます。
AUTHORIZATION 利用者登録ファイル(SYSUAF),またはネットワーク・プロキシ登録ファイル(NETPROXY)の内容の変更,および権利データベース(RIGHTSLIST)の内容の変更(AUTHORIZE, SET PASSWORD, LOGINOUT によるパスワードの変更を含む)を指定します。 BREAKIN=
(キーワード[,...])次のキーワードで指定される,1つまたは複数の侵入の試みを指定します。 ALL
DETACHED
DIALUP
LOCAL
NETWORK
REMOTECONNECTION DECnet Phase IV (VAX のみ), DECwindows, $IPC, または SYSMAN による論理リンク確立/解除イベントを指定します。 CREATE オブジェクト作成イベントを指定します。ファイル以外の場合には /CLASS 修飾子が必要です。 DEACCESS オブジェクトからのデアクセス・イベントを指定します。ファイル以外の場合には /CLASS 修飾子が必要です。 DELETE オブジェクト作成イベントを指定します。/CLASS=DEVICE 修飾子が必要です。 IDENTIFIER 識別子を特権として使用するイベントを指定します。詳細は『OpenVMS Guide to System Security』を参照してください。 INSTALL INSTALL 操作の発生を指定します。 LOGFAILURE=
(キーワード[,...])次のキーワードによって指定される,ログイン失敗の発生を指定します。
ALL 下記のキーワードによって定義される,ログイン失敗のすべてのタイプ。 BATCH バッチ・プロセスのログイン失敗 DETACHED 独立プロセスのログイン失敗 DIALUP 電話回線経由のログイン失敗 LOCAL ローカルの会話型のログイン失敗 NETWORK ネットワーク・サーバ・タスクのログイン失敗 REMOTE 他のネットワーク・ノードからのログイン失敗(たとえば,SET HOST コマンドによる) SERVER サーバまたは TCB ベースのログイン失敗 SUBPROCESS サブプロセスのログイン失敗
LOGIN= (キーワード[,...]) 次のキーワードによって指定される 1 つまたは複数のログインの発生を指定します。
ALL
DETACHED
LOCAL
REMOTE
SUBPROCESS BATCH
DIALUP
NETWORK
SERVER
LOGOUT=
(キーワード[,...])次のキーワードによって指定される 1 つまたは複数のログアウトの発生を指定します。
ALL
DETACHED
LOCAL
REMOTE
SUBPROCESS BATCH
DIALUP
NETWORK
SERVER
MOUNT マウント要求,またはディスマウント要求の発行を指定します。 NCP VAX では,ネットワーク制御プログラム (NCP) によるネットワーク構成ファイルデータベースへのアクセスを指定します。 PRIVILEGE=
(キーワード[,...])キーワードによって指定される,特権使用の成功/失敗を指定します。 FAILURE [:特権(,...)] --- 失敗
SUCCESS [:特権(,...)] --- 成功特権のリストは DCL コマンド SET PROCESS/PRIVILEGES のヘルプを参照してください。
PROCESS=
(キーワード[,...])次のキーワードによって指定される 1 つまたは複数のプロセス制御システム・サービスを指定します。
ALL 全サービス CREPRC $CREPRC DELPRC $DELPRC SCHDWK $SCHDWKの特権使用 CANWAK $CANWAKの特権使用 WAKE $WAKEの特権使用 SUSPND $SUSPNDの特権使用 RESUME $RESUMEの特権使用 GRANTID $GRANTIDの特権使用 REVOKID $REVOKIDの特権使用 GETJPI $GETJPIの特権使用 FORCEX $FORCEXの特権使用 SETPRI $SETPRIの特権使用
プロセス制御システムサービスの特権使用とは, GROUP または WORLD 特権を使用して対象プロセスを拡大したシステム・サービスの使用を意味します。
SYSGEN SYSGEN によるシステム・パラメータの変更を指定します。 TIME システム時刻の変更を指定します。
/EXCLUDE=プロセス識別子
/NOEXCLUDE=プロセス識別子
監査サーバの除外プロセス・リストに,指定されたプロセス識別子(PID)を追加します。除外プロセス・リストには,資源枯渇時に監査サーバ・プロセスによってサスペンドされないプロセスが記載されます。省略時の設定では,以下のプロセスが常に登録されており,決してサスペンドされません。CACHE_SERVER
CLUSTER_SERVER
CONFIGURE
DFS$COM_ACP
DNS$ADVER
IPCACP
JOB_CONTROL
NETACP
NET$ACP
OPCOM
REMACP
SHADOW_SERVER
SMISERVER
SWAPPER
TP_SERVER
VWS$DISPLAYMGR
VWS$EMULATORS除外プロセス・リストからプロセスを外すには, SET AUDIT/EXCLUDE=プロセス識別子コマンドを使用します。ただし,上記のプロセスは除外できません(プロセスがからログアウトしても,リストから自動的には外されません)。
前へ | 次へ | 目次 | 索引 |