; hp; ヒューレット・パッカード;hewlett-packard; ヒューレット;コンパック;compaq; OS; OpenVMS;高い信頼性とスケーラビリティを提供するOS"> - OpenVMSのマニュアルページです。">
日本-日本語

 >  マニュアル >  V8.3ライブラリ

OpenVMS マニュアル


HP OpenVMS
システム管理ユーティリティ・リファレンス・マニュアル


前へ 次へ 目次 索引


CODE を複数回指定すると,最後の値だけが照合されます。

SUBJECT_OWNER=(uic,...)

イベントの原因となったプロセスの所有者(UIC)を指定します。

SUBTYPE=(subtype,...)

制限のある基準をサブタイプとして指定されている値に指定します。

有効なサブタイプの値については 表 F-2 を参照してください。

SYSTEM=キーワード(,...)

イベント・レコードの選択で使用するシステムの属性を指定します。次のキーワードから選択してください。

IDENTIFICATION=値 システムの数値識別を指定する。
NAME=ノード名 システムのノード名を指定する。



SYSTEM_SERVICE_NAME=(サービス名,...)

イベントに関連するシステム・サービスの名前を指定します。

TARGET_DEVICE_NAME=(デバイス名,...)

プロセス制御システム・サービスで使用するターゲット・デバイスの名前を指定します。

TARGET_PROCESS_IDENTIFICATION=(値,...)

プロセス制御システム・サービスで使用するターゲット・プロセスの識別子(PID)を指定します。

TARGET_PROCESS_NAME=(プロセス名,...)

プロセス制御システム・サービスで使用するターゲット・プロセス名を指定します。

TARGET_PROCESS_OWNER=(UIC,...)

プロセス制御システム・サービスで使用するターゲット・プロセスの所有者(UIC)を指定します。

TARGET_USERNAME=(ユーザ名,...)

プロセス制御システム・サービスで使用するターゲット・ユーザ名を指定します。

TERMINAL=(デバイス名,...)

イベント・レコードの選択で使用するターミナルの名前を指定します。ターミナル名全体または一部をワイルドカードで表現できます。

TRANSPORT_NAME=(トランスポート名,...)

トランスポートの名前を指定します。プロセス間通信(IPC),システム管理インテグレータ(SMI)のいずれかを指定してください。これはシステム・マネージメント・ユーティリティからの要求を取り扱います。

VAXシステムでは,DECnetトランスポート名(NSPを指定することもできます。

UAF_SOURCE=(レコード名,...)

Authorize ユーティリティ (AUTHORIZE) の追加,変更,削除操作用のソース・レコードのユーザ名を指定します。

USERNAME=(ユーザ名,...)

イベント・レコードの選択で使用するユーザ名を指定します。ユーザ名全体または一部をワイルドカードで表現できます。

VOLUME_NAME=(ボリューム名,...)

イベント・レコードの選択で使用するマウントされている(またはディスマウントされた)ボリュームの名前を指定します。ボリューム名全体または一部をワイルドカードで表現できます。

VOLUME_SET_NAME=(ボリューム・セット名,...)

イベント・レコードの選択で使用するマウントされている(またはディスマウントされた)ボリューム・セットの名前を指定します。ボリューム・セット名全体または一部をワイルドカードで表現できます。


#1

$ ANALYZE/AUDIT /FULL/SELECT=USERNAME=JOHNSON -
_$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
 

この例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち,ユーザJOHNSONが作成したすべてのレコードを選択します。

#2

$ ANALYZE/AUDIT/FULL/SELECT=PRIVILEGES_USED=(SYSPRV,-
_$ BYPASS)  SYS$MANAGER:SECURITY.AUDIT$JOURNAL
 

この例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち,SYSPRV特権またはBYPASS特権を使用してイベントによって作成されたすべてのレコードを選択します。

#3

$ ANALYZE/AUDIT/FULL/EVENT=SYSUAF/SELECT= -
_$ IMAGE=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") -
_$ SYS$MANAGER:SECURITY
 

この例では,セキュリティ監査ログ・ファイルに書き込まれたレコードのうち,パスワードの変更に関係するすべてのレコードを選択します。

次の例はコマンド・プロシージャであり,夜間に実行することにより,すべてのSYSUAFイベント,AUDITイベント,BREAKINイベント(パスワードの変更を除く)を選択し,結果をシステム管理者にメールとして送信できます。


 
$! DAILY_AUDIT.COM 
$ 
$   mail_list = "SYSTEM" 
$   audsrv$_noselect = %X003080A0 
$   audit_events = "SYSUAF,BREAKIN,AUDIT" 
$ 
$   analyze /audit /full - 
 /event=('audit_events') - 
 /output=audit.tmp - 
 /ignore=image=("*:[SYS*SYSEXE]SETP0.EXE","*:[SYS*SYSEXE]LOGINOUT.EXE") - 
 sys$manager:SECURITY.AUDIT$JOURNAL 
$ 
$   status = $status 
$   if (status.and.%XFFFFFFF) .eq. audsrv$_noselect then goto no_records 
$   if .not. status then goto error_analyze 
$   if f$file("audit.tmp","eof") .eq. 0 then goto no_records 
$   mail /subject="''audit_events' listing from ''f$time()'" - 
 audit.tmp 'mail_list' 
$   goto new_log 
$ 
$ no_records: 
$   mail /subject="No interesting security events" nl: 'mail_list' 
$ 
$ new_log: 
$   if f$search("audit.tmp") .nes. "" then delete audit.tmp;* 
$   set audit /server=new_log 
$   rename sys$manager:SECURITY.AUDIT$JOURNAL;-1 - 
 sys$common:[sysmgr]'f$element(0," ",f$edit(f$time(),"TRIM"))' 
$   exit 
$ 
$ error_analyze: 
$   mail/subj="Error analyzing auditing information" nl: 'mail_list' 
$   exit 



/SINCE

指定した時刻より後の日付を持つレコードを処理することを指定します。



形式

/SINCE [=時刻]

/NOSINCE




キーワード



時刻

レコード選択時に使用する時刻を指定します。指定した時刻より後の日付を持つレコードが選択されます。絶対時刻とデルタ時間のどちらでも使用できます。また,絶対時刻とデルタ時間を組み合わせることもできます。日付と時刻の構文規則については,『OpenVMS ユーザーズ・マニュアル』を参照してください。

/SINCE に時刻を指定しない場合,現在の日時の始まりが使用されます。




#1

$ ANALYZE/AUDIT /SINCE=25-NOV-2005 -
_$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

日付が 2005 年 11 月 25 日より後のレコードを選択するコマンド例です。

#2

$ ANALYZE/AUDIT /SINCE=25-NOV-2005:15:00 -
_$ SYS$MANAGER:SECURITY_AUDIT.AUDIT$JOURNAL

2005 年 11 月 25 日午後 3 時より後に書き込まれたレコードを選択するコマンド例です。



/SUMMARY

選択したすべてのレコードの処理の終了後,要約を出力することを指定します。

/SUMMARY 修飾子の処理は,Audit Analyzer が終了した後,つまり,分析対象のすべてのレコードの収集と処理を終えた後に実行される点に注意してください。 /INTERACTIVE 修飾子を指定したときには (この修飾子は省略時の設定です),他のコマンド (新しいレコード・セットを分析することになる) を入力するように繰り返し促されるため,Audit Analyzer はいつまでたっても終了状態になりません。

/SUMMARY 修飾子を使用するには,同時に /NOINTERACTIVE も指定して, Audit Analyzer が確実に終了状態になるようにします。これにより,SUMMARY 処理が実行されて,正しい情報が表示されるようになります。 OpenVMS の将来のバージョンでは,/SUMMARY と /INTERACTIVE を同時に指定すると,Audit Analyzer がエラーを戻すようになります。

/SUMMARY 修飾子は単独でも使用できますが,/BRIEF,/BINARY,/FULL 修飾子と組み合わせることもできます。




形式

/SUMMARY =プレゼンテーション

/NOSUMMARY




キーワード



プレゼンテーション

要約のプレゼンテーションを指定します。プレゼンテーション基準を指定しない場合,監査回数が出力されます。

次のいずれかのプレゼンテーションを指定できます。

COUNT

セキュリティ監査ログ・ファイルから抽出した監査メッセージの数を,セキュリティ・イベント・クラスごとにリストします。これは省略時の設定です。

PLOT

監査イベントのクラス,監査を実行した時刻,監査を実行したシステムの名前を示すプロットを表示します。



#1

$ ANALYZE/AUDIT/SUMMARY SYS$MANAGER:SECURITY.AUDIT$JOURNAL

このVAXシステムの例では,処理されたすべてのレコードの要約レポートが作成されます。


Total records read:        9701          Records selected:          9701 
Record buffer size:        1031 
Successful logins:          542          Object creates:            1278 
Successful logouts:         531          Object accesses:           3761 
Login failures:              35          Object deaccesses:         2901 
Breakin attempts:             2          Object deletes:             301 
System UAF changes:          10          Volume (dis)mounts:          50 
Rights db changes:            8          System time changes:          0 
Netproxy changes:             5          Server messages:              0 
Audit changes:               7          Connections:                  0 
Installed db changes:        50          Process control audits:       0 
Sysgen changes:               9          Privilege audits:            91 
NCP command lines:          120 

#2

$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY-
_$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL

この例では,侵入クラスまたはログ失敗イベント・クラスに対応するすべての記録された監査メッセージの詳細な形式の一覧が作成されます。リストの最後に要約レポートも出力されます。

#3

$ ANALYZE/AUDIT/FULL/EVENT_TYPE=(BREAKIN,LOGFAIL)/SUMMARY=PLOT -
_$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL
 

このコマンドで作成されるヒストグラムはキャラクタ・セル・ターミナルに表示できます。




4.4 ANALYZE/AUDIT のコマンド

この項では,ANALYZE/AUDIT ユーティリティで使用できる会話型コマンドについて説明します。修飾子は,DCL の標準文法に従って指定してください。

ANALYZE/AUDIT ユーティリティは,省略時の設定では会話形式で実行します。会話形式を禁止するには,ANALYZE/AUDIT コマンドに /NOINTERACTIVE 修飾子を付けます。詳細形式と簡略形式のいずれの会話型表示でも,Ctrl/C を押すことによって,いつでも会話型コマンドを入力できます。次のコマンドはすべて,COMMAND> プロンプトに入力できます。イベント・レコード処理を再開するには,CONTINUE コマンドを使用します。セッションを終了するには,EXIT コマンドを使用します。

CONTINUE

イベント・レコードの処理を再開します。



形式

CONTINUE




パラメータ

なし。



修飾子

なし。



#1

COMMAND> DISPLAY/SINCE=25-JAN-2005/SELECT=USERNAME=JOHNSON 
COMMAND> CONTINUE

最初のコマンドは,2005 年 1 月 25 日より後にユーザ JOHNSON が作成したイベント・レコードだけを選択しています。次のコマンドは,別の選択基準に従ってレポートを表示しています。



DISPLAY

イベント・レコード選択基準を変更します。



形式

DISPLAY




パラメータ

なし。

次の修飾子の詳細については,前述の ANALYZE/AUDIT の修飾子の項を参照してください。




修飾子



/BEFORE=時刻

指定した時刻より前の日付を持つレコードだけを選択するかどうかを制御します。

/BRIEF

簡略 (1 つのレコードにつき 1 行) 形式を ASCII 表示で使用するかどうかを制御します。

/EVENT_TYPE=イベント・タイプ[,...]

指定したイベント・タイプに属するレコードだけを選択するかどうかを制御します。

/FULL

ASCII 表示において,各レコードに詳細形式を使用するかどうかを制御します。

/IGNORE=基準[,...]

指定した基準を満たすレコードを除外するかどうかを制御します。/IGNORE を複数回指定すれば,複数の基準を指定できます。別の除外基準を指定するには,/IGNORE 修飾子と /REMOVE 修飾子を併用できます。

/PAUSE=秒数

詳細形式表示 (/FULL) において,各レコードを表示する時間の長さを指定します。

/REMOVE

/IGNORE と /SELECT の修飾子で指定した基準を,イベント・レコード選択基準として使用しないようにするかどうかを制御します。

/SELECT=基準[,...]

指定した基準を満たすレコードだけを選択するかどうかを制御します。/SELECT を複数回指定すれば,複数の基準を指定できます。別の選択基準を指定するには,/SELECT 修飾子と /REMOVE 修飾子を併用します。

/SINCE[=時刻]

指定した時刻より後の日付を持つレコードだけを選択するかどうかを制御します。





#1

COMMAND> DISPLAY/EVENT_TYPE=SYSUAF
COMMAND> CONTINUE

最初のコマンドは,システム・ユーザ登録ファイル (SYSUAF) を変更した結果作成されたレコードを選択しています。次のコマンドは,選択したレコードを表示しています。

#2

COMMAND> DISPLAY/SELECT=USERNAME=CRICK
COMMAND> CONTINUE
   .
   .
   .
[Ctrl/C]
COMMAND> DISPLAY/SELECT=USERNAME=WATSON
COMMAND> CONTINUE

最初の DISPLAY コマンドは,ユーザ CRICK が作成したレコードを選択しています。次のコマンドは,選択したレコードを表示しています。 2 番目の DISPLAY コマンドは,ユーザ WATSON が作成したレコードを選択しています。最後のコマンドは,ユーザ CRICK と WATSON が作成したすべてのレコードを表示しています。



EXIT

セッションを終了します。



形式

EXIT




パラメータ

なし。



修飾子

なし。


HELP

ANALYZE/AUDIT コマンドの使い方に関するヘルプ情報をオンラインで出力します。



形式

HELP [項目]




パラメータ



項目

どのコマンドのヘルプ情報を表示するかを指定します。キーワードを省略すると,ヘルプ項目リストが表示されるので,キーワードを入力してください。



修飾子

なし。



#1

COMMAND> HELP DISPLAY

DISPLAY コマンドのヘルプ情報を表示するコマンド例です。



LIST

イベント・レコード選択基準を変更します。このコマンドは,DISPLAY コマンドと同じです。



形式

LIST




パラメータ

なし。



修飾子



DISPLAY コマンドの説明を参照してください。



#1

COMMAND> LIST/EVENT_TYPE=SYSUAF
COMMAND> CONTINUE
 

最初のコマンドは,システム・ユーザ登録ファイル (SYSUAF) を変更した結果作成されたレコードを選択しています。次のコマンドは,選択したレコードを表示しています。



NEXT FILE

現在のセキュリティ監査ログ・ファイルをクローズして次のログ・ファイルをオープンするかどうかを制御します。このコマンドは,*.AUDIT$JOURNAL のように,ANALYZE/AUDIT コマンドでワイルドカード・ファイル指定を行うときに便利です。別の監査ログ・ファイルをオープンしない場合,監査分析セッションは終了し,制御は DCL に戻ります。



形式

NEXT FILE




パラメータ

なし。



修飾子

なし。


NEXT RECORD

次の監査レコードを表示するかどうかを制御します。 NEXT RECORD コマンドは,対話形式モードの省略時の設定です。

このコマンドは,POSITION コマンドと同じです。




形式

NEXT RECORD




パラメータ

なし。



修飾子

なし。


前へ 次へ 目次 索引



         印刷用画面へ

プライバシー 本サイト利用時の合意事項