OpenVMS
DCL ディクショナリ


前へ 次へ 目次 索引


除外プロセス・リストからプロセスを外すには, SET AUDIT/EXCLUDE=プロセス識別子コマンドを使用します。ただし,上記のプロセスは除外できません(プロセスがからログアウトしても,リストから自動的には外されません)。

/INTERVAL=(キーワード[,...])

定期的な監査サーバ動作に使用するデルタ時間を指定します。デルタ時間を指定する場合についての詳細は,『OpenVMS ユーザーズ・マニュアル』を参照してください。

/INTERVAL修飾子のキーワードを次の表に示します。

キーワード 説明
ARCHIVE_FLUSH=時間 監査サーバで収集したデータをアーカイブ・ファイルに書き込む時間間隔を指定する。省略時の設定は1分。
JOURNAL_FLUSH=時間 監査サーバで収集したデータを監査ログ・ファイルに書き込む時間間隔を指定する。省略時の設定は5分。
RESOURCE_MONITOR
=時間
監査サーバがログ・ファイルの割り当て,またはアクセスを再試行する時間間隔を指定する。ログ・ファイルの未使用領域が警告または動作しきい値より低い場合,またはログ・ファイルが入っているボリュームにアクセスできない場合,この時間間隔が適用される。省略時の時間間隔は5分。
RESUME_SCAN=時間 監査サーバが既存の資源消耗条件を調べる時間間隔を指定する。省略時の設定は15分。

/JOURNAL[=ジャーナル名]

監査ジャーナルの名前を指定します。省略時の名前は SECURITYです(現在は,ただ1つのジャーナルしかありません)。

監査ログ・ファイルを再定義する場合,または /RESOURCEあるいは/THRESHOLD修飾子で資源監視特性を指定する場合, /JOURNAL修飾子は必須です。

/LISTENER=装置

/NOLISTENER

監査サーバがすべての機密保護監査イベント・メッセージのバイナリ・コピーを送信するメールボックス装置の名前を指定します。利用者は,このようなメールボックスを作成すると,システム・セキュリティ・イベントを発生時に処理できます。リスナ・メールボックスに書き込まれるメッセージ形式についての詳細は,『OpenVMS システム管理ユーティリティ・リファレンス・マニュアル』の Audit Analysis Utility に関する説明を参照してください。

リスナ・デバイスを無効にするには,SET AUDIT/NOLISTENERコマンドを使用します。

/RESOURCE=キーワード[,...]

監査ジャーナル・エントリの領域を適切に保つために,ディスク・ボリュームの監視を有効または無効にします。また,使用する監視方法も指定します。 /JOURNAL修飾子は,必須です。資源監視についての詳細は,『OpenVMS Guide to System Security』を参照してください。

キーワード 説明
DISABLE 監査ジャーナルが入っているディスク・ボリュームの監視を禁止する。
ENABLE 監査ジャーナルが入っているディスク・ボリュームの監視を許可する。

/SERVER=キーワード[,...]

変更する監査サーバ特性を指定します。 /SERVER 修飾子には,次のキーワードを指定できます。

オプション・キーワード 説明
EXIT 監査サーバを終了させます。監査サーバ・プロセスは,これ以外の方法では終了しません(監査サーバの削除やサスペンドはできません)。
FINAL_ACTION
=アクション
資源枯渇時の処理を指定します。資源枯渇とは,監査メッセージを格納する仮想メモリを使い果たした場合です(資源監視については,『OpenVMS Guide to System Security』を参照してください)。次の値のいずれかを指定します。
CRASH --- システムをクラッシュさせます(省略時の設定)。

IGNORE_NEW --- 資源が回復するまで,新しいイベント・メッセージを無視します(失われます)。資源枯渇以前のイベント・メッセージは保存しますが,それ以後のメッセージは失われます。

PURGE_OLD (default) --- 資源が回復するまで,古いメッセージから順に削除し,新しいイベント・メッセージを保存します。
FLUSH バッファ内のすべての監査情報とアーカイブ情報を,それぞれ機密監査ログ・ファイル,セキュリティ・アーカイブ・ファイルにコピーします。
INITIATE システム立ち上げ時に機密監査機能を有効にします。通常,STARTUP.COM 内の VMS$LPBEGIN から起動されます。ただし,あるサイトで論理名 SYS$AUDIT_SERVER_INHIBIT を再定義すると, OpenVMSシステムは SET AUDIT/SERVER=INITIATE コマンドを実行してから監査を有効にします。
NEW_LOG クラスタ全体で使用する新しい機密監査ログ・ファイルを作成します。通常,機密監査ログ・ファイルの新しいバージョンを毎日作成するために,このコマンドを使用します。

次のコマンド・シーケンスは,領域監視しきい値を再設定し,その後,監査ログの再作成を行うことによって,小さいログ・ファイルが作成されることを示しています。

SET AUDIT /JOURNAL=SECURITY /THRESHOLD=WARN=200
SET AUDIT /SERVER=NEW_LOG

省略時の設定では,新しい機密監査ログ・ファイルのサイズは,以前の機密監査ログのサイズを基にしています。

RESUME ディスク領域に適当な空きがある場合に,通常処理を再開させます。通常,資源枯渇時には,監査サーバ・プロセスは,ほとんどの処理を停止して 15分間隔で(通常処理へ)回復可能か否かをチェックします。
START システム上で監査サーバ・プロセスを開始します。監査用のサブシステムを完全に使用できるようにするため, SET AUDIT/SERVER=START コマンドの終了後に SET AUDIT/SERVER=INITIATE コマンドを使用しなければなりません。

監査サーバを開始するには,次のコマンド・プロシージャを使うことをおすすめします。

$    SYS$SYSTEM:STARTUP AUDIT_SERVER

/THRESHOLD=タイプ=値

監査サーバが機密監査ログファイルの空き領域監視に使用するしきい値を指定します。 WARNING 値以下になると,センタおよび機密保護オペレータに勧告メッセージが送られます。 ACTION 値以下になると,監査イベントを生成したプロセスはサスペンドされます(/RESOURCE=[enable|disable] を参照してください)。 /THRESHOLD 修飾子で監査サーバのしきい値を変更する場合は, /JOURNAL 修飾子を必ず指定します。

しきい値のタイプを次の表に示します。

キーワード 説明
WARNING=値 監査サーバが,すべての機密保護オペレータ・ターミナルに資源枯渇を通知するしきい値。
ACTION=値 監査サーバが,監査イベントを生成したプロセスをサスペンドするしきい値(サスペンドされないプロセスもあります。詳細は『OpenVMS Guide to System Security』を参照してください。)

各々の資源監視モードに対するしきい値の省略時の設定値を次の表に示します。

モード Warning Action
ブロック数 100 25
相対時間 2 0:00:00 0 0:30:00

/VERIFY

監査サーバがコマンドを終了するまで,ドル記号 ($) のプロンプトを戻しません。関連する修飾子により,以下のどの処理が行われるかが決まります。

コマンドの終了を待ちたくない場合には,/NOVERIFY を指定します。


#1

$ SET AUDIT/AUDIT/ENABLE= -
_$ (CREATE,ACCESS=(SYSPRV,BYPASS),DEACCESS)/CLASS=FILE
$ SHOW AUDIT/AUDIT
System security audits currently enabled for:
 
   .
   .
   .
  FILE access: 
    Failure:     read,write,execute,delete,control 
    SYSPRV:      read,write,execute,delete,control 
    BYPASS:      read,write,execute,delete,control 
    Other:       create,deaccess 
 
 

この例の SET AUDIT コマンドは,ファイル作成とデアクセスの機密監査イベントに対して,監査機能を有効にしています。また,SYSPRV, BYPASS 特権を使用したファイルアクセスに対しても,監査機能を有効にしています。

#2

$ SET AUDIT/JOURNAL=SECURITY/DESTINATION=AUDIT$:[AUDIT]TURIN
$ SET AUDIT/SERVER=NEW
$ SHOW AUDIT/JOURNAL
List of audit journals:
  Journal name:           SECURITY
  Journal owner:          (system audit journal)
  Destination:            AUDIT$:[AUDIT]TURIN.AUDIT$JOURNAL
 

この例は,新しいジャーナルへの切り替え方を示しています。

#3

$ SET AUDIT/SERVER=FINAL=CRASH
$ SHOW AUDIT/SERVER
Security auditing server characteristics:
  Database version:       4.4
  Backlog (total):        100, 200, 300
  Backlog (process):      5, 2
  Server processing intervals:
    Archive flush:        0 00:01:00.00
    Journal flush:        0 00:05:00.00
    Resource scan:        0 00:05:00.00
  Final resource action:  crash system
 

この例は,機密監査サーバがメモリを使い果たした時にシステムをクラッシュさせるようにサーバを設定してします。

#4

$ SET AUDIT/ARCHIVE/DESTINATION=SYS$SPECIFIC:[SYSMGR]TURIN-ARCHIVE
$ SHOW AUDIT/ARCHIVE
Security archiving information:
 Archiving events:    system audits
 Archive destination: SYS$SPECIFIC:[SYSMGR]TURIN-ARCHIVE.AUDIT$JOURNAL
 

ノード固有のアーカイブ・ファイルを使うように設定しています。

#5

$ SET AUDIT/JOURNAL/RESOURCE=ENABLE 
$ SHOW AUDIT/JOURNAL
List of audit journals:
 Journal name:          SECURITY
 Journal owner:         (system audit journal)
 Destination:           SYS$COMMON:[SYSMGR]SECURITY.AUDIT$JOURNAL
 Monitoring:            enabled
  Warning thresholds, Block count:  100    Duration:  2 00:00:00.0
  Action thresholds,  Block count:   25    Duration:  0 00:30:00.0
 

この例は,空きブロック数ではなく応答時間によるディスクに対するモニタを有効にしています。


SET BROADCAST

特定の種類のメッセージがターミナルに表示されることを,許可または禁止します。

形式

SET BROADCAST =(クラス名[,...])


パラメータ

クラス名[,...]

ターミナルに表示を許可,または禁止するメッセージの種類を指定します。クラスを 1 つだけ指定する場合には,括弧を省略できます。クラス名は次のとおりです。

ALL すべての種類のメッセージが許可される。
[NO]DCL Ctrl/T メッセージと,SPAWN/NOTIFY メッセージ。
[NO]GENERAL すべての通常の REPLY メッセージ,または $BRDCST からのメッセージ。
[NO]MAIL メールの通知。
NONE すべての種類のメッセージが禁止される。
[NO]OPCOM OPCOM によって出されるメッセージ。
[NO]PHONE Phone ユーティリティからのメッセージ。
[NO]QUEUE キュー・マネージャから出される,プリント・ジョブまたはバッチ・ジョブについてのメッセージ。
[NO]SHUTDOWN REPLY/SHUTDOWN から出されるメッセージ。
[NO]URGENT REPLY/URGENT から出されるメッセージ。
[NO]USER1 to [NO]USER16 指定されたユーザ・グループ(1 つまたは複数)からのメッセージ。ユーザ・ブロードキャスト・メッセージの設定については,『OpenVMS System Services Reference Manual』の $BRKTHRU システム・サービスの記述を参照してください。


説明

SET BROADCAST コマンドを使用すると,特定の種類のメッセージだけを端末に受信できます。省略時の設定では,すべてのメッセージが端末に受信されます (SET BROADCAST=ALL)。SET BROADCAST=NONE を指定すると,すべてのメッセージが表示 (受信) されません。

SET BROADCAST を使用して一部のメッセージ・クラスを除外すれば ( たとえば, SET BROADCAST=NOPHONE),コマンドを使用してそのクラスを復元することができます ( たとえば,SET BROADCAST=PHONE)。

現在どのメッセージ・クラスが除外されているかを確認するには, SHOW BROADCAST コマンドを使用します。

注意

SYS$COMMAND は,端末でなければなりません。


#1

$ SET BROADCAST=(NOMAIL, NOPHONE)
   .
   .
   .
$ SET BROADCAST=MAIL

この例では,MAIL および PHONE のブロードキャスト・メッセージを表示しないように設定しています。その後,MAIL のブロードキャスト・メッセージだけを表示するように再設定しています。PHONE のメッセージは,そのまま表示されません。

#2

$ SET BROADCAST=NONE
   .
   .
   .
$ SET BROADCAST=(SHUTDOWN, URGENT, DCL, OPCOM)

この例では,すべてのブロードキャスト・メッセージを表示しないように設定しています。その後,REPLY/SHUTDOWN,REPLY/URGENT,DCL と OPCOM のブロードキャスト・メッセージだけを表示するように再設定しています。 REPLY,PHONE,MAIL,キューとユーザのブロードキャスト・メッセージは,表示されません。


SET CACHE/RESET

拡張ファイル・キャッシュ (XFC) のシステム全体の入出力キャッシング統計情報を再設定します。

このコマンドを実行するには,OPER 特権が必要です。


形式

SET CACHE/RESET


パラメータ

なし。

説明

SET CACHE/RESET コマンドは, SHOW MEMORY/CACHE および SDA SHOW MEMORY コマンドによって表示されるシステム全体の入出力キャッシング統計情報のいくつかを再設定します。再設定される統計情報には,入出力回数,ヒット率,ヒット数,キャッシュをバイパスした読み込み,および,読み込み/書き込み比率が含まれます。

キャッシュが最後に再設定された時刻を示すタイムスタンプが表示され,その後の SHOW MEMORY/CACHE コマンドでは,この時刻以降の統計情報が表示されます。


#1

$ SHOW MEMORY/CACHE
              System Memory Resources on 22-AUG-2001 11:22:22.50
 
Extended File Cache  (Time of last reset: 16-AUG-2001 11:16:24.96)
 Allocated (Mbytes)     151.39   Maximum size (Mbytes)    1024.00
 Free (Mbytes)            0.21   Minimum size (Mbytes)       0.23
 In use (Mbytes)        151.18   Write hit rate                 0%
 Read hit rate              97%  Write I/O count             5321
 Read I/O count         208052   Write hit count                0
 Read hit count         203761   Writes bypassing cache         0
 Reads bypassing cache    1787   Vols in Full XFC mode          0
 Files cached open         316   Vols in VIOC Compatible mode   1
 Files cached closed       300   Vols in No Caching mode        0
 Read/Write ratio           97%  Vols in Perm. No Caching mode  0

この例は, SET CACHE/RESET コマンドを発行する前のキャッシュ統計情報を示しています。


$ SET CACHE/RESET 

このコマンドはキャッシュ統計情報を再設定し,タイムスタンプを更新します。


$ SHOW MEMORY/CACHE 
              System Memory Resources on 22-AUG-2001 11:27:41.11 
 
Extended File Cache  (Time of last reset: 22-AUG-2001 11:27:37.76) 
 Allocated (Mbytes)     151.39   Maximum size (Mbytes)    1024.00 
 Free (Mbytes)            0.21   Minimum size (Mbytes)       0.23 
 In use (Mbytes)        151.18   Write hit rate                 0% 
 Read hit rate             100%  Write I/O count                0 
 Read I/O count              9   Write hit count                0 
 Read hit count              9   Writes bypassing cache         0 
 Reads bypassing cache       0   Vols in Full XFC mode          0 
 Files cached open         316   Vols in VIOC Compatible mode   1 
 Files cached closed       300   Vols in No Caching mode        0 
 Read/Write ratio          100%  Vols in Perm. No Caching mode  0 

この例は,再設定されたキャッシュ統計情報と,変更後のタイムスタンプを示しています。


SET CARD_READER

カード・リーダから読み込まれたカードに対する,省略時の変換モードを定義します。このコマンドの実行後,指定されたカード・リーダから読み込まれた入力は,すべて指定されたモードに変換されます。

形式

SET CARD_READER 装置名[:]


パラメータ

装置名[:]

変換モードが設定される,カード・リーダの名前を指定します。他のユーザが現在占有している装置は指定できません。

説明

システムがブートストラップ型の場合,すべてのカード・リーダで読み込んだカードの変換モードは 029 に設定されます。いずれのコマンド修飾子も指定しないと,SET CARD_READER コマンドは無動作です。つまり,現在の装置の変換モードは変化しません。

修飾子

/026

026 穿孔装置で穿孔されたカード用に,カード・リーダを設定します。

/029

029 穿孔装置で穿孔されたカード用に,カード・リーダを設定します。

/LOG

/NOLOG (省略時の設定)

カード・リーダの設定を確認するためのログ情報を,ターミナルに表示するかどうかを指定します。

#1

$ ALLOCATE CR:
  _CRA0: ALLOCATED
$ SET CARD_READER CRA0:/029
$ COPY  CRA0: [PEARLMAN.DATAFILES]CARDS.DAT

この例で,ALLOCATE コマンドは,総称装置名を指定することにより,カード・リーダの占有を要求しています。 ALLOCATE コマンドが装置名を表示すると,SET CARD_READER コマンドは,変換モードを 029 に設定します。そのあと,COPY コマンドは, CRA0 というカード・リーダに読み込まれたすべてのカードを,ディレクトリ [PEARLMAN.DATAFILES] のファイル CARDS.DAT にコピーします。


前へ 次へ 目次 索引