OpenVMS
システム管理ユーティリティ・リファレンス・マニュアル

前へ次へ目次索引

有効なサブタイプの値については表 F-2 を参照してください。

SYSTEM=キーワード(,...)

イベント・レコードの選択で使用するシステムの属性を指定します。次のキーワードから選択してください。

IDENTIFICATION=値システムの数値識別を指定する。

NAME=ノード名システムのノード名を指定する。

SYSTEM_SERVICE_NAME=(サービス名,...)

イベントに関連するシステム・サービスの名前を指定します。

TARGET_DEVICE_NAME=(デバイス名,...)

プロセス制御システム・サービスで使用するターゲット・デバイスの名前を指定します。

TARGET_PROCESS_IDENTIFICATION=(値,...)

プロセス制御システム・サービスで使用するターゲット・プロセスの識別子(PID)を指定します。

TARGET_PROCESS_NAME=(プロセス名,...)

プロセス制御システム・サービスで使用するターゲット・プロセス名を指定します。

TARGET_PROCESS_OWNER=(UIC,...)

プロセス制御システム・サービスで使用するターゲット・プロセスの所有者(UIC)を指定します。

TARGET_USERNAME=(ユーザ名,...)

プロセス制御システム・サービスで使用するターゲット・ユーザ名を指定します。

TERMINAL=(デバイス名,...)

イベント・レコードの選択で使用するターミナルの名前を指定します。ターミナル名全体または一部をワイルドカードで表現できます。

TRANSPORT_NAME=(トランスポート名,...)

トランスポートの名前を指定します。プロセス間通信(IPC)，システム管理インテグレータ(SMI)のいずれかを指定してください。これはシステム・マネージメント・ユーティリティからの要求を取り扱います。

VAXシステムでは，DECnetトランスポート名(NSP)を指定することもできます。

USERNAME=(ユーザ名,...)

イベント・レコードの選択で使用するユーザ名を指定します。ユーザ名全体または一部をワイルドカードで表現できます。

VOLUME_NAME=(ボリューム名,...)

イベント・レコードの選択で使用するマウントされている(またはディスマウントされた)ボリュームの名前を指定します。ボリューム名全体または一部をワイルドカードで表現できます。

VOLUME_SET_NAME=(ボリューム・セット名,...)

イベント・レコードの選択で使用するマウントされている(またはディスマウントされた)ボリューム・セットの名前を指定します。ボリューム・セット名全体または一部をワイルドカードで表現できます。

例

#1

$ ANALYZE/AUDIT /FULL/SELECT=USERNAME=JOHNSON - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

#1
$ ANALYZE/AUDIT /FULL/SELECT=USERNAME=JOHNSON - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

この例では，セキュリティ監査ログ・ファイルに書き込まれたレコードのうち，ユーザJOHNSONが作成したすべてのレコードを選択します。

#2

$ ANALYZE/AUDIT/FULL/SELECT=PRIVILEGES_USED=(SYSPRV,- _$ BYPASS) SYS$MANAGER:SECURITY.AUDIT$JOURNAL

#2
$ ANALYZE/AUDIT/FULL/SELECT=PRIVILEGES_USED=(SYSPRV,- _$ BYPASS) SYS$MANAGER:SECURITY.AUDIT$JOURNAL

この例では，セキュリティ監査ログ・ファイルに書き込まれたレコードのうち，SYSPRV特権またはBYPASS特権を使用してイベントによって作成されたすべてのレコードを選択します。

#3

$ ANALYZE/AUDIT/FULL/EVENT=SYSUAF/SELECT= - _$ IMAGE=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") - _$ SYS$MANAGER:SECURITY

#3
$ ANALYZE/AUDIT/FULL/EVENT=SYSUAF/SELECT= - _$ IMAGE=(":[SYSSYSEXE]SETP0.EXE",":[SYSSYSEXE]LOGINOUT.EXE") - _$ SYS$MANAGER:SECURITY

この例では，セキュリティ監査ログ・ファイルに書き込まれたレコードのうち，パスワードの変更に関係するすべてのレコードを選択します。
次の例はコマンド・プロシージャであり，夜間に実行することにより，すべてのSYSUAFイベント，AUDITイベント，BREAKINイベント(パスワードの変更を除く)を選択し，結果をシステム管理者にメールとして送信できます。
$! DAILY_AUDIT.COM $ $ mail_list = "SYSTEM" $ audsrv$_noselect = %X003080A0 $ audit_events = "SYSUAF,BREAKIN,AUDIT" $ $ analyze /audit /full - /event=('audit_events') - /output=audit.tmp - /ignore=image=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") - sys$manager:SECURITY.AUDIT$JOURNAL $ $ status = $status $ if (status.and.%XFFFFFFF) .eq. audsrv$_noselect then goto no_records $ if .not. status then goto error_analyze $ if f$file("audit.tmp","eof") .eq. 0 then goto no_records $ mail /subject="''audit_events' listing from ''f$time()'" - audit.tmp 'mail_list' $ goto new_log $ $ no_records: $ mail /subject="No interesting security events" nl: 'mail_list' $ $ new_log: $ if f$search("audit.tmp") .nes. "" then delete audit.tmp;* $ set audit /server=new_log $ rename sys$manager:SECURITY.AUDIT$JOURNAL;-1 - sys$common:[sysmgr]'f$element(0," ",f$edit(f$time(),"TRIM"))' $ exit $ $ error_analyze: $ mail/subj="Error analyzing auditing information" nl: 'mail_list' $ exit

/SINCE

指定した時刻より後の日付を持つレコードを処理することを指定します。

形式

/SINCE [=時刻]
/NOSINCE

キーワード

時刻
レコード選択時に使用する時刻を指定します。指定した時刻より後の日付を持つレコードが選択されます。絶対時刻とデルタ時間のどちらでも使用できます。また，絶対時刻とデルタ時間を組み合わせることもできます。日付と時刻の構文規則については，『OpenVMS ユーザーズ・マニュアル』を参照してください。
/SINCE に時刻を指定しない場合，現在の日時の始まりが使用されます。

例

#1

$ ANALYZE/AUDIT /SINCE=25-NOV-2002 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

#1
$ ANALYZE/AUDIT /SINCE=25-NOV-2002 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

日付が 2002 年 11 月 25 日より後のレコードを選択するコマンド例です。

#2

$ ANALYZE/AUDIT /SINCE=25-NOV-2002:15:00 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

#2
$ ANALYZE/AUDIT /SINCE=25-NOV-2002:15:00 - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

2002 年 11 月 25 日午後 3 時より後に書き込まれたレコードを選択するコマンド例です。

/SUMMARY

選択したすべてのレコードの処理の終了後，要約を出力することを指定します。
/SUMMARY 修飾子は単独でも使用できますが，/BRIEF，/BINARY，/FULL 修飾子と組み合わせることもできます。

形式

/SUMMARY =プレゼンテーション
/NOSUMMARY

キーワード

プレゼンテーション
要約のプレゼンテーションを指定します。プレゼンテーション基準を指定しない場合，監査回数が出力されます。
次のいずれかのプレゼンテーションを指定できます。
COUNT
セキュリティ監査ログ・ファイルから抽出した監査メッセージの数を，セキュリティ・イベント・クラスごとにリストします。これは省略時の設定です。
PLOT
監査イベントのクラス，監査を実行した時刻，監査を実行したシステムの名前を示すプロットを表示します。

例

#1

$ ANALYZE/AUDIT/SUMMARY SYS$MANAGER:SECURITY.AUDIT$JOURNAL

#1
$ ANALYZE/AUDIT/SUMMARY SYS$MANAGER:SECURITY.AUDIT$JOURNAL

このVAXシステムの例では，処理されたすべてのレコードの要約レポートが作成されます。

Total records read: 9701 Records selected: 9701 Record buffer size: 1031 Successful logins: 542 Object creates: 1278 Successful logouts: 531 Object accesses: 3761 Login failures: 35 Object deaccesses: 2901 Breakin attempts: 2 Object deletes: 301 System UAF changes: 10 Volume (dis)mounts: 50 Rights db changes: 8 System time changes: 0 Netproxy changes: 5 Server messages: 0 Audit changes: 　 7 Connections: 0 Installed db changes: 50 Process control audits: 0 Sysgen changes: 9 Privilege audits: 91 NCP command lines: 120

#2

$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY- _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

#2
$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY- _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

この例では，侵入クラスまたはログ失敗イベント・クラスに対応するすべての記録された監査メッセージの詳細な形式の一覧が作成されます。リストの最後に要約レポートも出力されます。

#3

$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY=PLOT - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

#3
$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY=PLOT - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

このコマンドで作成されるヒストグラムはキャラクタ・セル・ターミナルに表示できます。

4.4 ANALYZE/AUDIT のコマンド

この項では，ANALYZE/AUDIT ユーティリティで使用できる会話型コマンドについて説明します。修飾子は，DCL の標準文法に従って指定してください。

ANALYZE/AUDIT ユーティリティは，省略時の設定では会話形式で実行します。会話形式を禁止するには，ANALYZE/AUDIT コマンドに /NOINTERACTIVE 修飾子を付けます。詳細形式と簡略形式のいずれの会話型表示でも，Ctrl/C を押すことによって，いつでも会話型コマンドを入力できます。次のコマンドはすべて，COMMAND> プロンプトに入力できます。イベント・レコード処理を再開するには，CONTINUE コマンドを使用します。セッションを終了するには，EXIT コマンドを使用します。

CONTINUE

イベント・レコードの処理を再開します。

形式

CONTINUE

パラメータ

なし。

修飾子

なし。

例

#1

COMMAND> DISPLAY/SINCE=25-JAN-2002/SELECT=USERNAME=JOHNSON COMMAND> CONTINUE

#1
COMMAND> DISPLAY/SINCE=25-JAN-2002/SELECT=USERNAME=JOHNSON COMMAND> CONTINUE

最初のコマンドは，2002 年 1 月 25 日より後にユーザ JOHNSON が作成したイベント・レコードだけを選択しています。次のコマンドは，別の選択基準に従ってレポートを表示しています。

DISPLAY

イベント・レコード選択基準を変更します。

形式

DISPLAY

パラメータ

なし。

次の修飾子の詳細については，前述の ANALYZE/AUDIT の修飾子の項を参照してください。

修飾子

/BEFORE=時刻
指定した時刻より前の日付を持つレコードだけを選択するかどうかを制御します。
/BRIEF
簡略 (1 つのレコードにつき 1 行) 形式を ASCII 表示で使用するかどうかを制御します。
/EVENT_TYPE=イベント・タイプ[,...]
指定したイベント・タイプに属するレコードだけを選択するかどうかを制御します。
/FULL
ASCII 表示において，各レコードに詳細形式を使用するかどうかを制御します。
/IGNORE=基準[,...]
指定した基準を満たすレコードを除外するかどうかを制御します。/IGNORE を複数回指定すれば，複数の基準を指定できます。別の除外基準を指定するには，/IGNORE 修飾子と /REMOVE 修飾子を併用できます。
/PAUSE=秒数
詳細形式表示 (/FULL) において，各レコードを表示する時間の長さを指定します。
/REMOVE
/IGNORE と /SELECT の修飾子で指定した基準を，イベント・レコード選択基準として使用しないようにするかどうかを制御します。
/SELECT=基準[,...]
指定した基準を満たすレコードだけを選択するかどうかを制御します。/SELECT を複数回指定すれば，複数の基準を指定できます。別の選択基準を指定するには，/SELECT 修飾子と /REMOVE 修飾子を併用します。
/SINCE[=時刻]
指定した時刻より後の日付を持つレコードだけを選択するかどうかを制御します。

例

#1

COMMAND> DISPLAY/EVENT_TYPE=SYSUAF COMMAND> CONTINUE

#1
COMMAND> DISPLAY/EVENT_TYPE=SYSUAF COMMAND> CONTINUE

最初のコマンドは，システム・ユーザ登録ファイル (SYSUAF) を変更した結果作成されたレコードを選択しています。次のコマンドは，選択したレコードを表示しています。

#2

COMMAND> DISPLAY/SELECT=USERNAME=CRICK COMMAND> CONTINUE . . . [Ctrl/C] COMMAND> DISPLAY/SELECT=USERNAME=WATSON COMMAND> CONTINUE

#2
COMMAND> DISPLAY/SELECT=USERNAME=CRICK COMMAND> CONTINUE . . . `[Ctrl/C]` COMMAND> DISPLAY/SELECT=USERNAME=WATSON COMMAND> CONTINUE

最初の DISPLAY コマンドは，ユーザ CRICK が作成したレコードを選択しています。次のコマンドは，選択したレコードを表示しています。 2 番目の DISPLAY コマンドは，ユーザ WATSON が作成したレコードを選択しています。最後のコマンドは，ユーザ CRICK と WATSON が作成したすべてのレコードを表示しています。

EXIT

セッションを終了します。

形式

EXIT

パラメータ

なし。

修飾子

なし。

HELP

ANALYZE/AUDIT コマンドの使い方に関するヘルプ情報をオンラインで出力します。

形式

HELP [項目]

パラメータ

項目
どのコマンドのヘルプ情報を表示するかを指定します。キーワードを省略すると，ヘルプ項目リストが表示されるので，キーワードを入力してください。

修飾子

なし。

例

#1

COMMAND> HELP DISPLAY

#1
COMMAND> HELP DISPLAY

DISPLAY コマンドのヘルプ情報を表示するコマンド例です。

LIST

イベント・レコード選択基準を変更します。このコマンドは，DISPLAY コマンドと同じです。

形式

LIST

パラメータ

なし。

修飾子

DISPLAY コマンドの説明を参照してください。

例

#1

COMMAND> LIST/EVENT_TYPE=SYSUAF COMMAND> CONTINUE

#1
COMMAND> LIST/EVENT_TYPE=SYSUAF COMMAND> CONTINUE

最初のコマンドは，システム・ユーザ登録ファイル (SYSUAF) を変更した結果作成されたレコードを選択しています。次のコマンドは，選択したレコードを表示しています。

NEXT FILE

現在のセキュリティ監査ログ・ファイルをクローズして次のログ・ファイルをオープンするかどうかを制御します。このコマンドは，*.AUDIT$JOURNAL のように，ANALYZE/AUDIT コマンドでワイルドカード・ファイル指定を行うときに便利です。別の監査ログ・ファイルをオープンしない場合，監査分析セッションは終了し，制御は DCL に戻ります。

形式

NEXT FILE

パラメータ

なし。

修飾子

なし。

NEXT RECORD

次の監査レコードを表示するかどうかを制御します。 NEXT RECORD コマンドは，対話形式モードの省略時の設定です。
このコマンドは，POSITION コマンドと同じです。

形式

NEXT RECORD

パラメータ

なし。

修飾子

なし。

POSITION

詳細形式表示を，指定した数のイベント・レコード分だけ前方または後方に移動します。

形式

POSITION 数

パラメータ

数
正の数を指定すると，現在のレコードより指定した数だけ後方にあるレコードが表示されます。負の数を指定すると，現在のレコードより指定した数だけ前方にあるレコードが表示されます。

修飾子

なし。

例

#1

COMMAND> POSITION 100

#1
COMMAND> POSITION 100

100 個のイベント・レコード分だけ，表示を前方に移動するコマンド例です。

#2

COMMAND> POSITION -100

#2
COMMAND> POSITION -100

100 個のイベント・レコード分だけ，表示を後方に移動するコマンド例です。

前へ次へ目次索引

IDENTIFICATION=値	システムの数値識別を指定する。
NAME=ノード名	システムのノード名を指定する。

OpenVMSシステム管理ユーティリティ・リファレンス・マニュアル

SYSTEM=キーワード(,...)

SYSTEM_SERVICE_NAME=(サービス名,...)

TARGET_DEVICE_NAME=(デバイス名,...)

TARGET_PROCESS_IDENTIFICATION=(値,...)

TARGET_PROCESS_NAME=(プロセス名,...)

TARGET_PROCESS_OWNER=(UIC,...)

TARGET_USERNAME=(ユーザ名,...)

TERMINAL=(デバイス名,...)

TRANSPORT_NAME=(トランスポート名,...)

USERNAME=(ユーザ名,...)

VOLUME_NAME=(ボリューム名,...)

VOLUME_SET_NAME=(ボリューム・セット名,...)

例

/SINCE

形式

キーワード

時刻

例

/SUMMARY

形式

キーワード

プレゼンテーション

COUNT

PLOT

例

4.4 ANALYZE/AUDIT のコマンド

CONTINUE

形式

パラメータ

修飾子

例

DISPLAY

形式

パラメータ

修飾子

/BEFORE=時刻

/BRIEF

/EVENT_TYPE=イベント・タイプ[,...]

/FULL

/IGNORE=基準[,...]

/PAUSE=秒数

/REMOVE

/SELECT=基準[,...]

/SINCE[=時刻]

例

EXIT

形式

パラメータ

修飾子

HELP

形式

パラメータ

項目

修飾子

例

LIST

形式

パラメータ

修飾子

例

NEXT FILE

形式

パラメータ

修飾子

NEXT RECORD

形式

パラメータ

修飾子

POSITION

形式

パラメータ

数

修飾子

例

OpenVMS
システム管理ユーティリティ・リファレンス・マニュアル