前へ

次へ

目次

索引

ASCII 表示で 1 行だけの簡略レコード形式を使用するかどうかを制御します。

形式

/BRIEF (省略時の設定)

キーワード

なし。

説明

省略時の設定では，レコードは簡略形式で表示されます。選択した監査イベント・レコードそれぞれについて詳細に出力するには，/FULL を指定しなければなりません。

/BINARY，/BRIEF，/FULL 修飾子と併用することはできません。

例

#1
$ ANALYZE/AUDIT /OUTPUT=AUDIT.LIS - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

省略時の簡略形式で ASCII ファイルを出力するコマンド例です。出力されたレポートは，AUDIT.LIS ファイルに書き込まれます。

セキュリティ・ログ・ファイルから抽出するイベントのクラスを選択します。この修飾子を指定しなかった場合や，ALLキーワードを指定した場合には，許可されているすべてのイベント・クラスがレポートに報告されます。

形式

/EVENT_TYPE=(イベント・タイプ[,...])

キーワード

イベント・タイプ[,...]

レコードを選択するために使用するイベントのクラスを指定します。次のイベント・タイプを指定できます。

[NO]ACCESS	ファイルなどのオブジェクトへのアクセス
[NO]ALL	すべてのイベント・タイプ
[NO]AUDIT	SET AUDITコマンドの使用
[NO]AUTHORIZATION	登録データベース(SYSUAF.DAT， RIGHTSLIST.DAT，NETPROXY.DAT，または NET$PROXY)の変更
[NO]BREAKIN	侵入の検出
[NO]CONNECTION	System Managementユーティリティ(SYSMAN)， DECwindows，プロセス間通信(IPC)ソフトウェア，または DECnet Phase IV (VAX のみ) のいずれかによるネットワーク接続の確立
[NO]CREATE	オブジェクトの作成
[NO]DEACCESS	オブジェクトへのアクセスの終了
[NO]DELETE	オブジェクトの削除
[NO]INSTALL	Installユーティリティ(INSTALL)による既知ファイル・リストの変更
[NO]LOGFAIL	ログインの失敗
[NO]LOGIN	ログインの成功
[NO]LOGOUT	ログアウトの成功
[NO]MOUNT	DCLのMOUNTコマンドまたはDISMOUNTコマンドの実行
[NO]NCP	DECnetネットワーク構成データベースの変更
[NO]NETPROXY	ネットワーク代理登録ファイル (NETPROXY.DAT または NET$PROXY.DAT)の変更
[NO]PRIVILEGE	特権の監査
[NO]PROCESS	1つ以上のプロセス制御システム・サービスの使用: $CREPRC，$DELPRC，$SCHDWK，$CANWAK， $WAKE，$SUSPND，$RESUME，$GRANTID， $REVOKID，$GETJPI，$FORCEX，$SETPRI
[NO]RIGHTSDB	権利データベース(RIGHTSLIST.DAT)の変更
[NO]SYSGEN	System Generationユーティリティ(SYSGEN) または AUTOGEN によるシステム・パラメータの変更
[NO]SYSUAF	システム・ユーザ登録ファイル(SYSUAF.DAT)の変更
[NO]TIME	システム時刻またはクラスタ時刻の変更

否定形でイベント・クラスを指定すると(たとえばNOLOGFAIL)，指定したイベント・クラスは監査レポートから除外されます。

例

#1
$ ANALYZE/AUDIT/EVENT_TYPE=LOGFAIL - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

この例では，LOGFAILクラスに対応するログイン失敗のすべてのレコードを抽出し，簡略形式のレポートを作成します。

#2
$ ANALYZE/AUDIT/EVENT_TYPE=(NOLOGIN,NOLOGOUT) - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

この例では，LOGINおよびLOGOUTイベント・クラスを除き，他のすべての監査レコードのレポートを簡略形式で作成します。

ASCII 表示で詳細形式を使用するかどうかを制御します。/NOFULL を指定した場合や修飾子を省略した場合，レコードは簡略形式で表示されます。

形式

/FULL

/NOFULL (省略時の設定)

キーワード

なし。

説明

省略時の設定では，レコードは簡略形式で表示されます。選択した各レコードの詳細内容を表示するには，/FULL を指定してください (または Ctrl/C を押してコマンド・モードに入る)。

/BINARY，/BRIEF，/FULL 修飾子と併用することはできません。

例

#1
$ ANALYZE/AUDIT /FULL - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

選択した各レコードの詳細内容を表示するコマンド例です。

指定した基準を満たすレコードをレポートから除外します。

形式

/IGNORE= 基準[,...]

キーワード

基準[,...]

指定した除外基準を満たすレコード以外のすべてのレコードを選択することを指定します。/IGNORE 修飾子で使用できる基準については，/SELECT 修飾子の説明を参照してください。

説明

/IGNORE 修飾子は，特定のグループに属する監査レコードを監査レポートから除外します。複数の除外基準を指定した場合，省略時の設定では，そのいずれかを満たすレコードは除外されます。

例

#1
$ ANALYZE/AUDIT/IGNORE=(SYSTEM=NAME=WIPER,USERNAME=MILANT) - _$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

ノード WIPER または任意のノード上のユーザ MILANT が作成した監査ログ・ファイル内のすべてのレコードを，監査分析レポートから除外するコマンド例です。

#2
$ ANALYZE/AUDIT/IGNORE=SUBTYPE=(DIALUP,REMOTE)

この例のコマンドは，ダイアルアップ・プロセスと遠隔プロセスを除外します。

ANALYZE/AUDIT ユーティリティ起動時に会話型コマンド・モードを許可するかどうかを制御します。

形式

/INTERACTIVE (省略時の設定)

/NOINTERACTIVE

キーワード

なし。

説明

会話型コマンド・モード (省略時) では，ターミナルに表示されている監査レポートを中断し，レコード選択基準や表示位置を変更するコマンドを入力することができます。

詳細または簡略の監査レポートを中断するには，Ctrl/C を押して COMMAND> プロンプトにコマンドを入力します。コマンド・モードに入ると，現在のレコードが詳細形式で表示されます。このレコードは，前回の ANALYZE/AUDIT コマンドで指定した選択または除外の基準を満たさない場合があります。

コマンド・モードの省略時の設定は NEXT RECORD コマンドです。 ANALYZE/AUDIT でログ・ファイルの終端に達すると，次のコマンドを入力するよう求められます。現在のログ・ファイル名およびファイル内での位置を確認するには， Ctrl/T を押します。

CONTINUE コマンドを入力すると，会話型コマンド・モードが終了し，監査レポートの表示が再開されます。EXIT コマンドを入力すると，セッションが終了します。会話型コマンドの説明については，ANALYZE/AUDIT コマンドの項を参照してください。

会話型モードを禁止するには，/NOINTERACTIVE を指定します。このモードでは，1 度に 1 つの監査レコードが表示されます。ここで改行キーを押せば，次のレコードに進みます。

例

#1
$ ANALYZE/AUDIT/FULL - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

選択したレコードの詳細形式表示を出力するのコマンド例です。 3 秒ごとにレコードが表示されます。レコード表示時刻の変更方法については， /PAUSE 修飾子の説明を参照してください。表示を中断して会話型コマンドを入力するには，Ctrl/C を押します。

#2
$ ANALYZE/AUDIT/FULL/NOINTERACTIVE - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

非会話型モードで ANALYZE/AUDIT ユーティリティを起動するコマンド例です。選択したレコードのうち，最初のレコードが表示されます。ここで改行キーを押せば，次のレコードが表示されます。選択したすべてのレコードの表示が完了すると，DCL コマンド・レベルに戻ります。

ANALYZE/AUDIT ユーティリティの出力先を指定します。修飾子を省略すると，レポートは SYS$OUTPUT に送られます。

形式

/OUTPUT [=ファイル指定]

/NOOUTPUT

キーワード

ファイル指定[,...]

選択したレコードを格納するファイルの名前を指定します。装置とディレクトリを指定しない場合，現在指定されている装置とディレクトリが使用されます。ファイル名とファイル・タイプを省略すると，省略時のファイル名 AUDIT.LIS が使用されます。出力がバイナリ(/BINARY)であるときに，/OUTPUT修飾子を指定しなかった場合には，バイナリ情報はAUDIT.AUDIT$JOURNALファイルに書き込まれます。

例

#1
$ ANALYZE/AUDIT /BINARY/OUTPUT=BIN122588.DAT - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

システム監査ログ・ファイルから監査レコードを選択し，バイナリ・ファイル BIN122588.DAT に書き込むコマンド例です。

詳細形式で各レコードを表示する時間の長さを指定します。

形式

/PAUSE =秒数

キーワード

秒数

詳細画面を表示する時間 (秒単位) を指定します。0 を指定すると，レコードは連続的に表示されます。省略時のレコード表示時間は 3 秒です。

説明

/PAUSE 修飾子を使用できるのは，詳細形式 (/FULL) 表示だけです。 /PAUSE 修飾子は，各レコードの表示時間の長さを指定する修飾子です。省略時のレコード表示時間は 3 秒です。0 を指定すると，監査レコードは連続的に表示されます。

例

#1
$ ANALYZE/AUDIT /FULL/PAUSE=1 - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

選択したレコードを，詳細形式で 1 秒ごとに表示するコマンド例です。 Ctrl/C を押せば，表示を中断して会話型コマンドを入力することができます。詳細については，ANALYZE/AUDIT コマンドの項を参照してください。

監査ログ・ファイルのレコードの選択基準を指定します。監査レコードを生成する方法については，『OpenVMS Guide to System Security』を参照してください。

形式

/SELECT= 選択基準[,...]

/NOSELECT

キーワード

選択基準[,...]

レコードの選択基準を指定します。指定した各選択基準に対して，次の2つの必要条件が適用されます。

• 選択基準に対応するパケットはレコード内に存在しなければならない。

• 指定した値のいずれかがそのパケット内の値と一致しなければならない。

たとえば，(USER=(PUTNAM,WU),SYSTEM=DBASE)を指定した場合， SYSTEM=DBASEパケットを含み，値がPUTNAMまたはWUであるUSERパケットを含むイベント・レコードが選択されます。

/SELECT修飾子を指定しなかった場合には，/EVENT_TYPE修飾子によって選択されたすべてのイベント・レコードが監査ログ・ファイルから抽出され，レポートに出力されます。

次の選択基準を指定できます。

ACCESS=(タイプ,...)

選択基準となるオブジェクト・アクセス・タイプを指定します。アクセスはオブジェクト固有であり，次のタイプを指定できます。

Associate	Execute	Read
Control	Lock	Submit
Create	Logical	Use
Delete	Manage	Write
	Physical

これらの各タイプについての説明は，『OpenVMS Guide to System Security』を参照してください。

ACCOUNT=(名前,...)

選択基準となるアカウント名を指定します。名前全体または一部を全部を表現するために，アスタリスク(*)やパーセント記号(%)などのワイルドカードを使用できます。

ALARM_NAME=(アラーム名,...)

選択基準となるアラーム・ジャーナル名を指定します。アラーム名全体または一部を表現するためにワイルドカードを使用できます。

ASSOCIATION_NAME=(IPC名,...)

プロセス間通信(IPC)の関係の名前を指定します。

AUDIT_NAME=(ジャーナル名,...)

選択基準となる監査ジャーナル名を指定します。監査ジャーナル名全体または一部を表現するためにワイルドカードを使用できます。

COMMAND_LINE=(コマンド,...)

ユーザが入力したコマンド行を指定します。

CONNECTION_IDENTIFICATION=(IPC名,...)

プロセス間通信(IPC)の接続の名前を指定します。

DECNET_LINK_IDENTIFICATION=(値,...)

DECnet論理リンクの番号を指定します。

DECNET_OBJECT_NAME=(オブジェクト名,...)

DECnetオブジェクトの名前を指定します。

DECNET_OBJECT_NUMBER=(値,...)

DECnetオブジェクトの番号を指定します。

DEFAULT_USERNAME=(ユーザ名,...)

受信したネットワーク・プロキシ要求の省略時のローカル・ユーザ名を指定します。

DEVICE_NAME=(デバイス名,...)

DEVICE_NAMEパケットを含む監査レコード内のデバイスの名前を指定します。ファイル名やTARGET_DEVICE_NAMEパケットなど，他のパケット・タイプに含まれる場合には，デバイス名は選択されません。

DIRECTORY_ENTRY=(ディレクトリ,...)

ファイル・システム操作に関連するディレクトリ・エントリを指定します。

DIRECTORY_NAME=(ディレクトリ,...)

ディレクトリ・ファイルの名前を指定します。

DISMOUNT_FLAGS=(フラグ名,...)

レコードの選択で使用するボリューム・ディスマウント・フラグの名前を指定します。 Abort，Cluster，Nounload，Unitというフラグ名から1つ以上を指定してください。

EVENT_CLUSTER_NAME=(イベント・フラグ・クラスタ名,...)

イベント・フラグ・クラスタの名前を指定します。

FACILITY=(機能名,...)

指定した名前の機能によって監査されるイベントだけを選択することを指定します。名前または番号を指定しますが，どちらの場合も，機能は論理名 AUDSERV$FACILITY_NAMEを使用して10進数で定義しなければなりません。システムは番号0を使用します。

FIELD_NAME=(フィールド名,...)

変更されたフィールドの名前を指定します。元のデータと新しいデータ (NEW_DATA選択基準によって指定されるデータ)を含むパケットに対しては， FIELD_NAME選択基準が使用されます。

ANALYZE/AUDIT/SELECT=FIELD_NAME コマンドで使用できる FIELD_NAME 選択基準にどんなものがあるかをみるためには，事前に /EVENT 修飾子を指定して ANALYZE/AUDIT コマンドを実行してみます。このコマンドを実行すると使用できるフィールドが表示されます。

詳しくは SENSITIVE_FIELD_NAME を参照してください。

FILE_NAME=(ファイル名)

変更されたファイルの名前を指定します。 /OBJECT=NAME=オブジェクト名キーワードを使った場合とは少し異なる表示形式で，指定されたファイルの監査レコードを表示します。

FILE_IDENTIFICATION=(識別値)

ファイルの識別値を指定します。値を計算するには， FILE_NAMEキーワードを使ったときに表示されるファイル ID の値を使用します。たとえば，次のファイル ID が表示されたとします。

File ID: (3024,5,0)

この場合，次の公式を使って値を計算することができます。

((0 * 65536) + 5 * 65536) + 3024 = 330704

FLAGS=(フラグ名,...)

監査されるイベントに関連する監査イベント・フラグの名前を指定します。これらの名前はレコードの選択で使用しなければなりません。ACL，Alarm，Audit，Flush， Foreign，Internal，Mandatoryから1つ以上のフラグを指定してください。これらのフラグについての説明は， 表 F-3 を参照してください。

HOLDER=キーワード(,...)

イベント・レコードを選択するときに使用する識別子保有者の属性を指定します。次のいずれかのキーワードを選択してください。

NAME=ユーザ名	保有者の名前を指定する。名前全体または名前の一部をワイルドカードで表現できる。
OWNER=UIC	保有者のユーザ識別コード(UIC)を指定する。

IDENTIFIER=キーワード(,...)

イベント・レコードを選択するときに識別子のどの属性を使用するかを指定します。次のキーワードから選択してください。

ATTRIBUTES=名前	特定の属性の名前を指定する。指定できる属性名は Dynamic，Holder_Hidden，Name_Hidden，NoAccess，Resource，Subsystemシステムである。
NAME=識別子	識別子の元の名前を指定する。名前全体または一部をワイルドカードで表現できる。
NEW_NAME=識別子	識別子の新しい名前を指定する。名前全体または一部をワイルドカードで表現できる。
NEW_ATTRIBUTES=名前	新しい属性の名前を指定する。指定できる属性名は Dynamic，Holder_Hidden，Name_Hidden，NoAccess，Resource，Subsystemである。
VALUE=値	識別子の元の値を指定する。
NEW_VALUE=値	識別子の新しい値を指定する。

IDENTIFIERS_MISSING=(識別子,...)

オブジェクトのアクセスの失敗で紛失した識別子を指定します。

IDENTIFIERS_USED=(識別子,...)

オブジェクトにアクセスするときに使用される識別子を指定します。指定したリストがイベント・レコード内に記録されている識別子のサブセットである場合には，イベント・レコードは一致すると解釈されます。

IMAGE_NAME=(イメージ名,...)

イベント・レコードの選択で使用されるイメージの名前を指定します。イメージ名全体または一部をワイルドカードで表現できます。

INSTALL=キーワード(,...)

イベント・レコードの選択でインストレーション・イベント・パケットを考慮することを指定します。次のキーワードから選択してください。

FILE=ファイル名	インストールされているファイルの名前を指定する。名前全体または一部をワイルドカードで表現できる。 バージョン6.1以前のAlphaシステム，およびバージョン6.0以前のVAXシステムでは，監査ログ・ファイルはインストール済みファイル名をオブジェクト名パケット内に記録する。インストール済みファイルを選択するには，FILE=ファイル名ではなく， OBJECT=(NAME=オブジェクト名)を使用しなければならない。
FLAGS=フラグ名	Installユーティリティ(INSTALL)の修飾子に対応するフラグの名前を指定する。たとえば，OPENは/OPENに対応する。
PRIVILEGES=特権名	ファイルをインストールするときに使用した特権の名前を指定する。

LNM_PARENT_NAME=(テーブル名,...)

親論理名テーブルの名前を指定します。

LNM_TABLE_NAME=(テーブル名,...)

論理名テーブルの名前を指定します。

LOCAL=(属性,...)

イベント・レコードの選択で使用するローカル(プロキシ)・アカウントの属性を指定します。次の属性を指定できます。

USERNAME=ユーザ名

ローカル・アカウントの名前を指定する。名前全体または一部をワイルドカードで表現できる。

LOGICAL_NAME=(論理名,...)

選択基準となるマウントされている(ディスマウントされた)ボリュームの論理名を指定します。論理名全体または一部をワイルドカードで表現できます。

MAILBOX_UNIT=(ユニット番号,...)

メールボックス・ユニットの番号を指定します。

MOUNT_FLAGS=(フラグ名,...)

選択基準となるボリューム・マウント・フラグの名前を指定します。指定できるフラグ名は次のとおりです。

CACHE=(NONE,WRITETHROUGH)
CD-ROM
CLUSTER
COMPACTION
DATACHECK=(READ,WRITE)
DSI
FOREIGN
GROUP
INCLUDE
INITIALIZATION=(ALLOCATE,CONTINUATION)
MESSAGE
NOASSIST
NOAUTOMATIC
NOCOMPACTION
NOCOPY
NOHDR3
NOJOURNAL
NOLABEL
NOMOUNT_VERIFICATION
NOQUOTA
NOREBUILD
NOUNLOAD
NOWRITE
OVERRIDE=(オプション[,...])

• ACCESSIBILITY

• EXPIRATION

• IDENTIFICATION

• LIMITED_SEARCH

• LOCK

• NO_FORCED_ERROR

• OWNER_IDENTIFIER

• SECURITY

• SETID

QUOTA
SHARE
SUBSYSTEM
SYSTEM
TAPE_DATA_WRITE
XAR

前へ

次へ

目次

索引