Compq OpenVMS
システム管理ユーティリティ・リファレンス・マニュアル

前へ次へ目次索引

NOLABEL と FOREIGN は，それぞれ FOREIGN フラグを指しています。これは，MOUNT/NOLABEL コマンドと MOUNT/FOREIGN コマンドが，どちらも FOREIGN フラグを設定するためです。したがって， MOUNT/NOLABEL を使用し，ANALYZE/AUDIT/SELECT/MOUNT_FLAGS=NOLABEL を使用すると，監査レコードは FOREIGN フラグを表示します。
NEW_DATA=(値,...)
イベントが発生した後で使用する値を指定します。この選択基準は FIELD_NAME 選択基準と組み合わせて使用します。
詳しくは SENSITIVE_NEW_DATA を参照してください。
NEW_IMAGE_NAME=(イメージ名,...)
新しく生成されたプロセスで起動するイメージの名前を指定します。この名前は $CREPRCシステム・サービスに渡されます。
NEW_OWNER=(uic,...)
生成されるプロセスに割り当てるユーザ識別コード(UIC)を指定します。この値は $CREPRCシステム・サービスに渡されます。
OBJECT=キーワード(,...)
イベント・レコードの選択でどのオブジェクト属性を使用するかを指定します。次のキーワードから選択してください。

CLASS=クラス名次のいずれかの汎用オブジェクト・クラスを指定する。

Capability
Device
Event_cluster
File
Group_global_section
Logical_name_table
Queue
Resource_domain
Security_class
System_global_section
Volume

完全なクラス名(たとえばCLASS=logical_name_table)を入力するか，またはクラス名の一部としてワイルドカード文字を使用する(たとえばCLASS=log*)。

NAME=オブジェクト名オブジェクトの名前を指定する。名前全体または一部をワイルドカードで表現できる。ワイルドカードを使用しない場合には，完全なオブジェクト名を指定する(たとえば，_BOSTON$DUA0:[RWOODS]MEMO.MEM;1)。

OWNER=値オブジェクトの汎用識別子またはUICを指定する。

TYPE=タイプ汎用オブジェクト・クラス(オブジェクトのタイプ)を指定する。指定できるクラスは次のとおりである。

Capability
Device
File
Group_global_section
Logical_name_table
Queue
System_global_section

CLASSキーワードはTYPEキーワードの代わりに使用する。しかし，OpenVMS Alphaバージョン6.1以前，およびOpenVMS VAXバージョン6.0以前で作成されたファイルの監査レコードを選択するには，TYPEキーワードが必要である。

PARENT=キーワード(,...)
サブプロセスで生成されたイベント・レコードを選択するときに，親プロセスのどの属性を使用するかを指定します。次のキーワードから選択してください。

IDENTIFICATION=値親プロセスのプロセス識別子(PID)を指定する。

NAME=プロセス名親プロセスの名前を指定する。名前全体または一部をワイルドカードで表現できる。

OWNER=値親プロセスの所有者(識別子の値)を指定する。

USERNAME=ユーザ名親プロセスのユーザ名を指定する。名前全体または一部をワイルドカードで表現できる。

PASSWORD=(パスワード,...)
システムが侵入を検出したときに使用するパスワードを指定します。
PRIVILEGES_MISSING=(特権名,...)
操作を正しく実行するのに必要な特権を指定します。『OpenVMS Guide to System Security』の説明に従って，システム特権を指定してください。
PRIVILEGES_USED=(特権名,...)
イベント・レコードの選択で使用するプロセスの特権を指定します。『OpenVMS Guide to System Security』の説明に従って，システム特権を指定してください。選択基準にSTATUSキーワードも指定すれば，操作の正常終了または異常終了に特権が関与したかどうかをレポートで示すことができます。
PROCESS=(属性,...)
イベント・レコードの選択で使用するプロセスの属性を指定します。次の属性から選択してください。

IDENTIFICATION=値プロセスのPIDを指定する。

NAME=プロセス名プロセスの名前を指定する。名前全体または一部をワイルトカードで表現できる。

REMOTE=キーワード(,...)
イベント・レコードの選択でネットワーク要求の一部の属性を使用することを指定します。次のキーワードから選択してください。

ASSOCIATION_NAME=IPC名プロセス間通信(IPC)の関係名を指定する。

LINK_IDENTIFICATION=値 DECnet論理リンクの番号を指定する。

IDENTIFICATION=値 DECnetノード・アドレスを指定する。

NODENAME=ノード名 DECnetノード名を指定する。名前全体または一部をワイルドカードで表現できる。

USERNAME=ユーザ名遠隔ユーザ名を指定する。遠隔ユーザ名全体または一部をワイルドカードで表現できる。

REQUEST_NUMBER=(値,...)
DCLのREQUEST/REPLYに対応する要求番号を指定します。
SECTION_NAME=(グローバル・セクション名,...)
グローバル・セクションの名前を指定します。
SENSITIVE_FIELD_NAME=(フィールド名,...)
変更したフィールドの名前を指定します。 ANALYZE/AUDIT コマンドは例えば PASSWORDS 等の SENSITIVE_FIELD_NAME 選択基準を旧データと新規データ(SENSITIVE_NEW_DATA 選択基準によって指定されます) を含むパケットとともに使用します。
SENSITIVE_NEW_DATA=(値,...)
イベントが発生したあとに使用する値を指定します。この選択基準は SENSITIVE_FIELD_NAME 選択基準とともに指定します。
SNAPSHOT_BOOTFILE=(ファイル名,...)
システム・スナップ・ショットを登録したファイルの名前を指定します。
SNAPSHOT_SAVE_FILENAME=(ファイル名,...)
実行中のセーブ操作のシステム・スナップショット・ファイルの名前を指定します。
STATUS=タイプ(,...)
イベント・レコードの選択で使用する正常終了状態のタイプを指定します。次の状態タイプから選択してください。

SUCCESSFUL 正常終了状態を指定する。

FAILURE 異常終了状態を終了する。

CODE=(値,...) 特定の終了状態を指定する。

SUBJECT_OWNER=(uic,...)
イベントの原因となったプロセスの所有者(UIC)を指定します。
SUBTYPE=(subtype,...)
制限のある基準をサブタイプとして指定されている値に指定します。
有効なサブタイプの値については表 F-2 を参照してください。
SYSTEM=キーワード(,...)
イベント・レコードの選択で使用するシステムの属性を指定します。次のキーワードから選択してください。

IDENTIFICATION=値システムの数値識別を指定する。

NAME=ノード名システムのノード名を指定する。

SYSTEM_SERVICE_NAME=(サービス名,...)
イベントに関連するシステム・サービスの名前を指定します。
TARGET_DEVICE_NAME=(デバイス名,...)
プロセス制御システム・サービスで使用するターゲット・デバイスの名前を指定します。
TARGET_PROCESS_IDENTIFICATION=(値,...)
プロセス制御システム・サービスで使用するターゲット・プロセスの識別子(PID)を指定します。
TARGET_PROCESS_NAME=(プロセス名,...)
プロセス制御システム・サービスで使用するターゲット・プロセス名を指定します。
TARGET_PROCESS_OWNER=(UIC,...)
プロセス制御システム・サービスで使用するターゲット・プロセスの所有者(UIC)を指定します。
TARGET_USERNAME=(ユーザ名,...)
プロセス制御システム・サービスで使用するターゲット・ユーザ名を指定します。
TERMINAL=(デバイス名,...)
イベント・レコードの選択で使用するターミナルの名前を指定します。ターミナル名全体または一部をワイルドカードで表現できます。
TRANSPORT_NAME=(トランスポート名,...)
トランスポートの名前を指定します。プロセス間通信(IPC)，システム管理インテグレータ(SMI)のいずれかを指定してください。これはシステム・マネージメント・ユーティリティからの要求を取り扱います。
VAXシステムでは，DECnetトランスポート名(NSP)を指定することもできます。
USERNAME=(ユーザ名,...)
イベント・レコードの選択で使用するユーザ名を指定します。ユーザ名全体または一部をワイルドカードで表現できます。
VOLUME_NAME=(ボリューム名,...)
イベント・レコードの選択で使用するマウントされている(またはディスマウントされた)ボリュームの名前を指定します。ボリューム名全体または一部をワイルドカードで表現できます。
VOLUME_SET_NAME=(ボリューム・セット名,...)
イベント・レコードの選択で使用するマウントされている(またはディスマウントされた)ボリューム・セットの名前を指定します。ボリューム・セット名全体または一部をワイルドカードで表現できます。

例

#1

$ ANALYZE/AUDIT /FULL/SELECT=USERNAME=JOHNSON - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

#1
$ ANALYZE/AUDIT /FULL/SELECT=USERNAME=JOHNSON - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

この例では，セキュリティ監査ログ・ファイルに書き込まれたレコードのうち，ユーザJOHNSONが作成したすべてのレコードを選択します。

#2

$ ANALYZE/AUDIT/FULL/SELECT=PRIVILEGES_USED=(SYSPRV,- _$ BYPASS) SYS$MANAGER:SECURITY.AUDIT$JOURNAL

#2
$ ANALYZE/AUDIT/FULL/SELECT=PRIVILEGES_USED=(SYSPRV,- _$ BYPASS) SYS$MANAGER:SECURITY.AUDIT$JOURNAL

この例では，セキュリティ監査ログ・ファイルに書き込まれたレコードのうち，SYSPRV特権またはBYPASS特権を使用してイベントによって作成されたすべてのレコードを選択します。

#3

$ ANALYZE/AUDIT/FULL/EVENT=SYSUAF/SELECT= - _$ IMAGE=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") - _$ SYS$MANAGER:SECURITY

#3
$ ANALYZE/AUDIT/FULL/EVENT=SYSUAF/SELECT= - _$ IMAGE=(":[SYSSYSEXE]SETP0.EXE",":[SYSSYSEXE]LOGINOUT.EXE") - _$ SYS$MANAGER:SECURITY

この例では，セキュリティ監査ログ・ファイルに書き込まれたレコードのうち，パスワードの変更に関係するすべてのレコードを選択します。
次の例はコマンド・プロシージャであり，夜間に実行することにより，すべてのSYSUAFイベント，AUDITイベント，BREAKINイベント(パスワードの変更を除く)を選択し，結果をシステム管理者にメールとして送信できます。
$! DAILY_AUDIT.COM $ $ mail_list = "SYSTEM" $ audsrv$_noselect = %X003080A0 $ audit_events = "SYSUAF,BREAKIN,AUDIT" $ $ analyze /audit /full - /event=('audit_events') - /output=audit.tmp - /ignore=image=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") - sys$manager:SECURITY.AUDIT$JOURNAL $ $ status = $status $ if (status.and.%XFFFFFFF) .eq. audsrv$_noselect then goto no_records $ if .not. status then goto error_analyze $ if f$file("audit.tmp","eof") .eq. 0 then goto no_records $ mail /subject="''audit_events' listing from ''f$time()'" - audit.tmp 'mail_list' $ goto new_log $ $ no_records: $ mail /subject="No interesting security events" nl: 'mail_list' $ $ new_log: $ if f$search("audit.tmp") .nes. "" then delete audit.tmp;* $ set audit /server=new_log $ rename sys$manager:SECURITY.AUDIT$JOURNAL;-1 - sys$common:[sysmgr]'f$element(0," ",f$edit(f$time(),"TRIM"))' $ exit $ $ error_analyze: $ mail/subj="Error analyzing auditing information" nl: 'mail_list' $ exit

/SINCE

指定した時刻より後の日付を持つレコードを処理することを指定します。

形式

/SINCE [=時刻]
/NOSINCE

キーワード

時刻
レコード選択時に使用する時刻を指定します。指定した時刻より後の日付を持つレコードが選択されます。絶対時刻とデルタ時間のどちらでも使用できます。また，絶対時刻とデルタ時間を組み合わせることもできます。日付と時刻の構文規則については，『Compaq OpenVMS ユーザーズ・マニュアル』を参照してください。
/SINCE に時刻を指定しない場合，現在の日時の始まりが使用されます。

例

#1

$ ANALYZE/AUDIT /SINCE=25-NOV-2000 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

#1
$ ANALYZE/AUDIT /SINCE=25-NOV-2000 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

日付が 2000 年 11 月 25 日より後のレコードを選択するコマンド例です。

#2

$ ANALYZE/AUDIT /SINCE=25-NOV-2000:15:00 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

#2
$ ANALYZE/AUDIT /SINCE=25-NOV-2000:15:00 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

2000 年 11 月 25 日午後 3 時より後に書き込まれたレコードを選択するコマンド例です。

/SUMMARY

選択したすべてのレコードの処理の終了後，要約を出力することを指定します。
/SUMMARY 修飾子は単独でも使用できますが，/BRIEF，/BINARY，/FULL 修飾子と組み合わせることもできます。

形式

/SUMMARY =プレゼンテーション
/NOSUMMARY

キーワード

プレゼンテーション
要約のプレゼンテーションを指定します。プレゼンテーション基準を指定しない場合，監査回数が出力されます。
次のいずれかのプレゼンテーションを指定できます。
COUNT
セキュリティ監査ログ・ファイルから抽出した監査メッセージの数を，セキュリティ・イベント・クラスごとにリストします。これは省略時の設定です。
PLOT
監査イベントのクラス，監査を実行した時刻，監査を実行したシステムの名前を示すプロットを表示します。

例

#1

$ ANALYZE/AUDIT/SUMMARY SYS$MANAGER:SECURITY.AUDIT$JOURNAL

#1
$ ANALYZE/AUDIT/SUMMARY SYS$MANAGER:SECURITY.AUDIT$JOURNAL

このVAXシステムの例では，処理されたすべてのレコードの要約レポートが作成されます。

Total records read: 9701 Records selected: 9701 Record buffer size: 1031 Successful logins: 542 Object creates: 1278 Successful logouts: 531 Object accesses: 3761 Login failures: 35 Object deaccesses: 2901 Breakin attempts: 2 Object deletes: 301 System UAF changes: 10 Volume (dis)mounts: 50 Rights db changes: 8 System time changes: 0 Netproxy changes: 5 Server messages: 0 Audit changes: 　 7 Connections: 0 Installed db changes: 50 Process control audits: 0 Sysgen changes: 9 Privilege audits: 91 NCP command lines: 120

#2

$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY- _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

#2
$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY- _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

この例では，侵入クラスまたはログ失敗イベント・クラスに対応するすべての記録された監査メッセージの詳細な形式の一覧が作成されます。リストの最後に要約レポートも出力されます。

#3

$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY=PLOT - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

#3
$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY=PLOT - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

このコマンドで作成されるヒストグラムはキャラクタ・セル・ターミナルに表示できます。

4.4 ANALYZE/AUDIT のコマンド

この項では，ANALYZE/AUDIT ユーティリティで使用できる会話型コマンドについて説明します。修飾子は，DCL の標準文法に従って指定してください。

ANALYZE/AUDIT ユーティリティは，省略時の設定では会話形式で実行します。会話形式を禁止するには，ANALYZE/AUDIT コマンドに /NOINTERACTIVE 修飾子を付けます。詳細形式と簡略形式のいずれの会話型表示でも，Ctrl/C を押すことによって，いつでも会話型コマンドを入力できます。次のコマンドはすべて，COMMAND> プロンプトに入力できます。イベント・レコード処理を再開するには，CONTINUE コマンドを使用します。セッションを終了するには，EXIT コマンドを使用します。

CONTINUE

イベント・レコードの処理を再開します。

形式

CONTINUE

パラメータ

なし。

修飾子

なし。

例

#1

COMMAND> DISPLAY/SINCE=25-JAN-2000/SELECT=USERNAME=JOHNSON COMMAND> CONTINUE

#1
COMMAND> DISPLAY/SINCE=25-JAN-2000/SELECT=USERNAME=JOHNSON COMMAND> CONTINUE

最初のコマンドは，2000 年 1 月 25 日より後にユーザ JOHNSON が作成したイベント・レコードだけを選択しています。次のコマンドは，別の選択基準に従ってレポートを表示しています。

前へ次へ目次索引

CLASS=クラス名	次のいずれかの汎用オブジェクト・クラスを指定する。
	Capability Device Event_cluster File Group_global_section Logical_name_table Queue Resource_domain Security_class System_global_section Volume
	完全なクラス名(たとえばCLASS=logical_name_table)を入力するか，またはクラス名の一部としてワイルドカード文字を使用する(たとえばCLASS=log*)。
NAME=オブジェクト名	オブジェクトの名前を指定する。名前全体または一部をワイルドカードで表現できる。ワイルドカードを使用しない場合には，完全なオブジェクト名を指定する(たとえば，_BOSTON$DUA0:[RWOODS]MEMO.MEM;1)。
OWNER=値	オブジェクトの汎用識別子またはUICを指定する。
TYPE=タイプ	汎用オブジェクト・クラス(オブジェクトのタイプ)を指定する。指定できるクラスは次のとおりである。
	Capability Device File Group_global_section Logical_name_table Queue System_global_section
	CLASSキーワードはTYPEキーワードの代わりに使用する。しかし，OpenVMS Alphaバージョン6.1以前，およびOpenVMS VAXバージョン6.0以前で作成されたファイルの監査レコードを選択するには，TYPEキーワードが必要である。

IDENTIFICATION=値	親プロセスのプロセス識別子(PID)を指定する。
NAME=プロセス名	親プロセスの名前を指定する。名前全体または一部をワイルドカードで表現できる。
OWNER=値	親プロセスの所有者(識別子の値)を指定する。
USERNAME=ユーザ名	親プロセスのユーザ名を指定する。名前全体または一部をワイルドカードで表現できる。

IDENTIFICATION=値	プロセスのPIDを指定する。
NAME=プロセス名	プロセスの名前を指定する。名前全体または一部をワイルトカードで表現できる。

ASSOCIATION_NAME=IPC名	プロセス間通信(IPC)の関係名を指定する。

LINK_IDENTIFICATION=値	DECnet論理リンクの番号を指定する。

IDENTIFICATION=値	DECnetノード・アドレスを指定する。

NODENAME=ノード名	DECnetノード名を指定する。名前全体または一部をワイルドカードで表現できる。

USERNAME=ユーザ名	遠隔ユーザ名を指定する。遠隔ユーザ名全体または一部をワイルドカードで表現できる。

SUCCESSFUL	正常終了状態を指定する。
FAILURE	異常終了状態を終了する。
CODE=(値,...)	特定の終了状態を指定する。

IDENTIFICATION=値	システムの数値識別を指定する。
NAME=ノード名	システムのノード名を指定する。

Compq OpenVMSシステム管理ユーティリティ・リファレンス・マニュアル

NEW_DATA=(値,...)

NEW_IMAGE_NAME=(イメージ名,...)

NEW_OWNER=(uic,...)

OBJECT=キーワード(,...)

PARENT=キーワード(,...)

PASSWORD=(パスワード,...)

PRIVILEGES_MISSING=(特権名,...)

PRIVILEGES_USED=(特権名,...)

PROCESS=(属性,...)

REMOTE=キーワード(,...)

REQUEST_NUMBER=(値,...)

SECTION_NAME=(グローバル・セクション名,...)

SENSITIVE_FIELD_NAME=(フィールド名,...)

SENSITIVE_NEW_DATA=(値,...)

SNAPSHOT_BOOTFILE=(ファイル名,...)

SNAPSHOT_SAVE_FILENAME=(ファイル名,...)

STATUS=タイプ(,...)

SUBJECT_OWNER=(uic,...)

SUBTYPE=(subtype,...)

SYSTEM=キーワード(,...)

SYSTEM_SERVICE_NAME=(サービス名,...)

TARGET_DEVICE_NAME=(デバイス名,...)

TARGET_PROCESS_IDENTIFICATION=(値,...)

TARGET_PROCESS_NAME=(プロセス名,...)

TARGET_PROCESS_OWNER=(UIC,...)

TARGET_USERNAME=(ユーザ名,...)

TERMINAL=(デバイス名,...)

TRANSPORT_NAME=(トランスポート名,...)

USERNAME=(ユーザ名,...)

VOLUME_NAME=(ボリューム名,...)

VOLUME_SET_NAME=(ボリューム・セット名,...)

例

/SINCE

形式

キーワード

時刻

例

/SUMMARY

形式

キーワード

プレゼンテーション

COUNT

PLOT

例

4.4 ANALYZE/AUDIT のコマンド

CONTINUE

形式

パラメータ

修飾子

例

Compq OpenVMS
システム管理ユーティリティ・リファレンス・マニュアル