| 前へ | 次へ | 目次 | 索引 |
次の表は,監査イベントに関連するすべてのフラグを説明します。
シンボル NSA$K_MSG_HDR_LENGTH は,メッセージ・ヘッダの現在のサイズ(単位バイト)を定義しています。
| シンボル | 意味 |
|---|---|
| NSA$M_ACL | アラーム・アクセス制御エントリ(ACE)または監査ACEによって作成されたイベント。 |
| NSA$M_ALARM | イベントはセキュリティ・アラームである。 |
| NSA$M_AUDIT | イベントはセキュリティ監査である。 |
| NSA$M_FLUSH | イベントの発生により,監査サーバはバッファに格納されているすべてのイベント・メッセージを監査ログ・ファイルに強制的に書き込んだ。 |
| NSA$M_FOREIGN | システムで管理しているコンピューティング・ベースの外部でイベントが発生した。 |
| NSA$M_MANDATORY | 必須プロセス監査から発生したイベント。 |
他のフラグはすべて,システムが使用するために予約されています。 |
図 F-3 は,監査データ・パケットの形式を示しています。 NSA$K_PKT_HDR_LENGTHは各パケット・ヘッダの現在のサイズ(バイト数)を定義します。
監査データ・パケットは,イベント・メッセージ内に前もって定義されている順序で格納されるわけではなく,同じイベント・メッセージ内にパケット・タイプが2回以上格納されることもあります。
さまざまなイベント・メッセージに格納されるデータ・タイプの例については,『OpenVMS Guide to System Security』のアラーム・メッセージの付録を参照してください。
図 F-3 監査データ・パケットの形式
表 F-4 は,これらのパケットのフィールドを示しています。
| フィールド | シンボリック・オフセット | 内容 |
|---|---|---|
| パケット・サイズ | NSA$W_PACKET_SIZE | データ・パケットのサイズを示す。 (ワード) |
| パケット・タイプ | NSA$W_PACKET_TYPE | 表 F-5 の説明に従って,パケット内のデータのタイプを示す。 |
| パケット・データ | NSA$R_PACKET_DATA | パケット・データを格納した可変長フィールド。 |
表 F-5 は,監査パケット内のデータのタイプを示しています。
| シンボル | パケットの内容 |
|---|---|
| NSA$_ACCESS_DESIRED | $ARMDEFによって定義されるオブジェクトに与えたアクセス権または要求されたアクセス権(ロングワード) |
| NSA$_ACCESS_MODE | プロセスのアクセス・モード(バイト) |
| NSA$_ACCOUNT | プロセスに対応するアカウント名(1〜32文字の文字列) |
| NSA$_ALARM_NAME | レコードを受信するユーザ(またはセキュリティ・クラス・オペレータ・ターミナル)の名前(1〜32文字の文字列) |
| NSA$_ASSOCIATION_NAME | プロセス間通信(IPC)の関係名(1〜256文字の文字列) |
| NSA$_AUDIT_FLAGS | 許可または禁止されたイベントのビット・マスク。これは,コンパックが使用するために予約されている。(40バイトのレコード) (1〜65文字の文字列) |
| NSA$_AUDIT_NAME | 監査レコードを受信するジャーナル・ファイル (1〜65文字の文字列) |
| NSA$_COMMAND_LINE | ユーザが入力したコマンド行(1〜2048文字の文字列) |
| NSA$_CONNECTION_ID | プロセス間通信(IPC)の接続識別(ロングワード) |
| NSA$_DECNET_LINK_ID | DECnet論理リンク識別(ロングワード) |
| NSA$_DECNET_OBJECT_NAME | DECnetオブジェクト名(1〜16文字の文字列) |
| NSA$_DECNET_OBJECT_NUMBER | DECnetオブジェクト番号(ロングワード) |
| NSA$_DEFAULT_USERNAME | 入力ネットワーク代理要求の省略時のローカル・ユーザ名(1〜32文字の文字列) |
| NSA$_DEVICE_NAME | ボリュームが存在するデバイス名(1〜64文字の文字列) |
| NSA$_DIRECTORY_ENTRY | ファイル・システム操作に関連するディレクトリ・エントリ(ロングワード) |
| NSA$_DIRECTORY_ID | ディレクトリ・ファイル識別(3ワードの配列) |
| NSA$_DIRECTORY_NAME | ディレクトリ・ファイル名 |
| NSA$_DISMOUNT_FLAGS | STARLET内の$DMTDEFマクロはディスマウント・フラグを定義する。各フラグは 1クォドワードである |
| NSA$_EFC_NAME | イベント・フラグ・クラスタ名(1〜16文字の文字列) |
| NSA$_EVENT_FACILITY | 作成されたイベントの機能コード(ワード) |
| NSA$_FIELD_NAME | 変更対象のフィールドの名前。これは NSA$_ORIGINAL_DATAおよびNSA$_NEW_DATAと組み合わせて使用される(1〜256文字の文字列) |
| NSA$_FILE_ID | ファイル識別(ワード配列) |
| NSA$_FINAL_STATUS | 監査機能を起動する原因となった状態(成功または失敗)(ロングワード) |
| NSA$_HOLDER_NAME | 識別子を保有するユーザの名前(1〜32文字の文字列) |
| NSA$_HOLDER_OWNER | 保有者の所有者(UIC)(ロングワード) |
| NSA$_ID_ATTRIBUTES | 識別子の属性,STARLET内の$KGBDEFマクロによって定義される(ロングワード) |
| NSA$_IDENTIFIERS_USED | オブジェクトをアクセスするために使用された識別子(アクセスを許可するアクセス制御エントリ(ACE)から抽出したもの) (ロングワード配列) |
| NSA$_ID_NAME | 識別子の名前(1〜32文字の文字列) |
| NSA$_ID_NEW_ATTRIBUTES | 識別子の新しい属性,STARLET内の $KGBDEFマクロによって定義される(ロングワード) |
| NSA$_ID_NEW_NAME | 識別子の新しい名前(1〜32文字の文字列) |
| NSA$_ID_NEW_VALUE | 識別子の新しい値(ロングワード) |
| NSA$_ID_VALUE | 識別子の値(ロングワード) |
| NSA$_ID_VALUE_ASCII | $IDTOASCによって与えられた識別子の値 (ロングワード) |
| NSA$_IMAGE_NAME | イベントが発生したときに実行されていたイメージの名前 (1〜1024文字の文字列) |
| NSA$_INSTALL_FILE | インストールされたファイルの名前(1〜255文字の文字列) |
| NSA$_INSTALL_FLAGS | INSTALLフラグはInstallユーティリティの修飾子に対応する(たとえば, NSA$M_INS_EXECUTE_ONLY)。各フラグは1ロングワードである |
| NSA$_LNM_PARENT_NAME | 親論理名テーブルの名前(1〜31文字の文字列) |
| NSA$_LNM_TABLE_NAME | 論理名テーブルの名前(1〜31文字の文字列) |
| NSA$_LOCAL_USERNAME | 入力ネットワーク代理要求で使用できるアカウントのユーザ名(1〜32文字の文字列) |
| NSA$_LOGICAL_NAME | デバイスに対応する論理名(1〜255文字の文字列) |
| NSA$_MAILBOX_UNIT | メールボックス・ユニット番号(ロングワード) |
| NSA$_MATCHING_ACE | アクセスを許可または禁止するACE (バイト配列) |
| NSA$_MESSAGE | 関連するメッセージ・コード。変換については NSA$_MSGFILNAMを参照(ロングワード) |
| NSA$_MOUNT_FLAGS | STARLET内の$MNTDEFマクロによって定義される MOUNTフラグ(ロングワード) |
| NSA$_MSGFILNAM | NSA$_MESSAGE内のメッセージ・コードの変換を格納したメッセージ・ファイル (1〜255文字の文字列) |
| NSA$_NEW_DATA | イベントが発生した後,NSA$_FIELD_NAMEに名前が指定されたフィールドの内容。NSA$_ORIGINAL_DATAには,イベントが発生する前のフィールドの内容が格納される(1〜n文字の文字列) |
| NSA$_NEW_IMAGE_NAME | 新しいイメージの名前(1〜1024文字の文字列) |
| NSA$_NEW_OWNER | 新しいプロセス所有者(UIC)(ロングワード) |
| NSA$_NEW_PRIORITY | 新しいプロセス優先順位(ロングワード) |
| NSA$_NEW_PRIVILEGES | 新しい特権(クォドワード) |
| NSA$_NEW_PROCESS_ID | プロセスの新しい識別(ロングワード) |
| NSA$_NEW_PROCESS_NAME | プロセスの新しい名前(1〜15文字の文字列) |
| NSA$_NEW_PROCESS_OWNER | プロセスの新しい所有者(UIC) (ロングワード) |
| NSA$_NEW_USERNAME | 新しいユーザ名(1〜32文字の文字列) |
| NSA$_NOP | 処理されないようにするために静的イベント・リストに指定するパケット |
| NSA$_OBJECT_CLASS | システムまたはユーザによって定義されたオブジェクト・クラス名(1〜23文字の文字列) |
| NSA$_OBJECT_MAX_CLASS | オブジェクトの最高アクセス分類(20バイトのレコード) |
| NSA$_OBJECT_MIN_CLASS | オブジェクトの最低アクセス分類(20バイトのレコード) |
| NSA$_OBJECT_NAME | オブジェクトの名前(1〜255文字の文字列) |
| NSA$_OBJECT_NAME_2 | 代替オブジェクト名。現在のところ,グローバル・セクションの代替名がファイル名であるような,ファイルによって支援されるグローバル・セクションに適用される(1〜255文字の文字列) |
| NSA$_OBJECT_OWNER | 監査可能イベントの原因となったプロセスの汎用識別子またはUIC(ロングワード) |
| NSA$_OBJECT_PROTECTION | オブジェクトのUIC保護(ワードまたはロングワードのベクタ) |
| NSA$_OBJECT_TYPE | $ACLDEFでリストされているオブジェクトのタイプ・コード。(1〜23文字の文字列) |
| NSA$_OLD_PRIORITY | 以前のプロセス優先順位(ロングワード) |
| NSA$_OLD_PRIVILEGES | 以前の特権(クォドワード) |
| NSA$_ORIGINAL_DATA | イベントが発生する前の,NSA$_FIELD_NAMEに指定されたフィールドの内容。NSA$_NEW_DATAには,イベントが発生した後のフィールドの内容が格納される(1〜n文字の文字列) |
| NSA$_PARAMS_INUSE | SYSGENのUSEコマンドに与えられるパラメータ値の集まり(1〜255文字の文字列) |
| NSA$_PARAMS_WRITE | SYSGENのWRITEコマンドに対するファイル名 (1〜255文字の文字列) |
| NSA$_PARENT_ID | 親プロセスのプロセス識別子(PID)。監査イベントがサブプロセスに関係する場合にのみ使用する(ロングワード) |
| NSA$_PARENT_NAME | 親のプロセス名。監査イベントがサブプロセスに関係する場合にのみ使用する(1〜15文字の文字列) |
| NSA$_PARENT_OWNER | 親プロセスの所有者(UIC)(ロングワード) |
| NSA$_PARENT_USERNAME | 親プロセスに対応するユーザ名(1〜32文字の文字列) |
| NSA$_PASSWORD | 失敗したブレークインの試みで使用されたパスワード(1〜32文字の文字列) |
| NSA$_PRIVILEGES | 特権マスク(クォドワード) |
| NSA$_PRIVS_MISSING | 不足している特権(ロングワードまたはクォドワード) |
| NSA$_PRIVS_USED | オブジェクトをアクセスするために使用された特権 (ロングワードまたはクォドワード) |
| NSA$_PROCESS_ID | 監査イベントの原因となったプロセスのPID (ロングワード) |
| NSA$_PROCESS_NAME | 監査可能イベントの原因となったプロセスの名前 (1〜15文字の文字列) |
| NSA$_REM_ASSOCIATION_NAME | プロセス間通信(IPD)のリモート関係名(1〜256文字の文字列) |
| NSA$_REMOTE_LINK_ID | リモート論理リンク識別番号(ロングワード) |
| NSA$_REMOTE_NODE_ID | リモート・プロセスのDECnetアドレス(ロングワード) |
| NSA$_REMOTE_NODENAME | リモート・プロセスのDECnetノード名(1〜6文字の文字列) |
| NSA$_REMOTE_USERNAME | リモート・プロセスのユーザ名(1〜32文字の文字列) |
| NSA$_REQUEST_NUMBER | システム・サービス呼び出しに対応する要求番号(ロングワード) |
| NSA$_RESOURCE_NAME | ロック資源名(1〜32文字の文字列) |
| NSA$_SECTION_NAME | グローバル・セクション名(1〜42文字の文字列) |
| NSA$_SNAPSHOT_BOOTFILE | スナップショット・ブート・ファイルの名前。これは,システムをブートするときに使用したシステム・イメージ・ファイルである (1〜255文字の文字列) |
| NSA$_SNAPSHOT_SAVE_FILNAM | スナップショット・セーブ・ファイルの名前。これはシステムを保存した時点でのスナップショット・ファイルの格納場所である(1〜255文字の文字列) |
| NSA$_SNAPSHOT_TIME | システム構成をスナップショット・ブート・ファイルに保存した時刻(クォドワード) |
| NSA$_SOURCE_PROCESS_ID | 要求を出したプロセスの識別(ロングワード) |
| NSA$_SUBJECT_CLASS | 監査可能イベントの原因となったプロセスの現在のアクセス・クラス(20バイトのレコード) |
| NSA$_SUBJECT_OWNER | イベントの原因となったプロセスの所有者(UIC) (ロングワード) |
| NSA$_SYSTEM_ID | イベントが発生したクラスタ・ノードのSCS識別 (SYSGENパラメータSCSSYSTEMID) (ロングワード) |
| NSA$_SYSTEM_NAME | イベントが発生したシステム通信サービス(SCS)・ノード名(SYSGENパラメータSCSNODE) (1〜6文字の文字列) |
| NSA$_SYSTEM_SERVICE_NAME | イベントに対応するシステム・サービスの名前(1〜256文字の文字列) |
| NSA$_SYSTIM_NEW | 新しいシステム時刻(クオドワード) |
| NSA$_SYSTIM_OLD | 元のシステム時刻(クオドワード) |
| NSA$_TARGET_DEVICE_NAME | ターゲット・デバイス名(1〜64文字の文字列) |
| NSA$_TARGET_PROCESS_CLASS | ターゲット・プロセスの分類(20バイトのベクタ) |
| NSA$_TARGET_PROCESS_ID | ターゲット・プロセス識別子(PID) (ロングワード) |
| NSA$_TARGET_PROCESS_NAME | ターゲット・プロセス名(1〜64文字の文字列) |
| NSA$_TARGET_PROCESS_OWNER | ターゲット・プロセス所有者(UIC) (ロングワード) |
| NSA$_TARGET_USERNAME | ターゲット・ユーザ名(1〜32文字の文字列) |
| NSA$_TERMINAL | 監査可能イベントが発生したときにプロセスが接続されていたターミナルの名前(1〜256文字の文字列) |
| NSA$_TIME_STAMP | イベントが発生した時刻(クォドワード) |
| NSA$_TRANSPORT_NAME | トランスポートの名前。これはプロセス間通信(IPC),DECnet,システム管理インテグレータ(SMI)のいずれかであり, SYSMANユーティリティからの要求を処理する(1〜256文字の文字列) |
| NSA$_UAF_ADD | 追加される登録レコードの名前(1〜32文字の文字列) |
| NSA$_UAF_COPY | コピーされる登録レコードの元の名前と新しい名前 (1〜32文字の文字列) |
| NSA$_UAF_DELETE | 削除される登録レコードの名前(1〜32文字の文字列) |
| NSA$_UAF_FIELDS | 登録レコード内で変更されるフィールドとその新しい値。コンパックが使用するために予約されている(クォドワードのビット・マスク)。 |
| NSA$_UAF_MODIFY | 変更される登録レコードの名前(1〜32文字の文字列) |
| NSA$_UAF_RENAME | 名前が変更される登録レコードの名前(1〜32文字の文字列) |
| NSA$_UAF_SOURCE | Authorizeユーティリティ(AUTHORIZE)のコピー操作のコピー元レコードのユーザ名(1〜32文字の文字列) |
| NSA$_USERNAME | 監査可能イベントの原因となったプロセスのユーザ名 (1〜32文字の文字列) |
| NSA$_VOLUME_NAME | ボリューム名(1〜15文字の文字列) |
| NSA$_VOLUME_SET_NAME | ボリューム・セット名(1〜15文字の文字列) |
| 前へ | 次へ | 目次 | 索引 |