4. https を有効にします。
2.2.9 監査設定
監査設定では、ユーザーのネットワーク操作を監査し、誰がいつXSCFにログインして、どのような操 作を行ったか詳細なアクセス記録を残す場合の設定を行います。本システムでは、監査設定はデフォル トで有効になっています。監査設定では、主に監査 ( 表 2.16 参照 ) の有効/無効、監査トレール ( 表
2.16参照) の管理方法を設定します。
• 監査データの収集
本システムでは、XSCFファームウェアの監査モジュールの制御により、監査トレールをユーザーに提 供します。関連するイベント情報がいったん得られると、監査の情報はXSCFファームウェアによって 以下のように収集されます。
1.
監査イベントのデータは監査レコード (表 2.16参照) の形式で記録されます。2.
監査レコードはXSCFファームウェアのローカルな監査ファイル (表 2.16参照) に日付順に保管され ます。3.
監査ファイル群はリンクされ、それらのファイル群は監査トレール (表 2.16参照) となります。4.
監査レコードは監査トレールとして保管され、ユーザーは監査トレールを参照できます。(viewaudit (8)参照)表 2.16は監査設定に関する用語です。
表2.16 監査設定の用語
用語 説明
監査 システムのアクセスを監査する機能。AuditまたはAuditingともいいます。
監査イベント セキュリティに関連した監査可能なシステム・アクションのこと。
監査イベントは、数値か名前で複数指定できます。
(例: AEV_LOGIN_SSH、LOGIN_SSH、0、all)
監査クラス いくつかの関連する監査イベントをグループ化したもの。
(例:ログインの監査クラスの各監査イベント: SSHログイン、telnetログイン、
https ロ グ イ ン、ロ グ ア ウ ト ) 監 査 ク ラ ス は、複 数 指 定 で き ま す。 ( 例 : ACS_AUDIT、AUDIT、2、all)
監査レコード 1つの監査レコードは、1つの監査イベントを特定する情報です。その中には、イ ベント、イベントの時間、およびほかの関連情報が含まれています。
監査レコードは監査ファイルに保管されます。
監査ファイル 監査ログファイルともいいます。複数の監査レコードが保管されたログファイ ル。
監査トレール 監査トレールは、監査ファイルの集合体です。ユーザーは監査トレールを参照し て内容を分析します。
監査ポリシー 監査設定のこと。主に監査の有効/無効の指定や、監査トレールがフルになった 場合の管理方法を設定します。
監査トークン 監査レコードの1つのフィールドのこと。 監査トークンには、ユーザー、権限の ような監査イベントの属性が記述されています。
表 2.17は設定項目と対応するシェルコマンドです。
表2.17 監査設定
設定項目 機能説明 シェル
コマンド 備考
監査設定情 報表示
監査設定を表示します。
監査の有効/無効、監査ポリシーを 表示します。
showaudit
監査有効/
無 効、監 査 ポリシー
監査設定を行います。
以下の監査トレールの管理を指定します。
• 監査の有効/無効 (注1)
• ログアーカイブ要求 (注1)
• データ消去
また、以下の監査ポリシーを指定します。
• 指定したユーザーに対して有効/無効、または グローバルなポリシー (注2) に従うかの指定
• 監査クラスの有効/無効
• 監査イベントの有効/無効
• すべてのユーザーに対する監査の有効/無効 ( グローバルなポリシー)
• ローカル監査ファイル使用量が閾値に達したと きの送信先メールアドレス
• 監査トレール・フル時の書き込みサスペンド/
カウント (注3)
• ローカル監査ファイル使用量の警告閾値 (%) (注 4)
setaudit • ユーザー、監査クラス、監査
イベントは、シェルコマンド では、カンマ区切りで指定し ます。
• メールアドレスは 128 文字以 内です。受信側のメールアド レスに制限がある場合は設定 を確認してください。
• 監査トレール・フルの場合の 書き込みデフォルトはカウン トです。
• 警告閾値は、シェルコマンド では、カンマ区切りで 4 つま で指定できます。警告閾値の デフォルトは80 (%) です。
監査トレー ル表示
監査トレールを表示します。
以下を選択して監査トレールを表示させます。
表示されるのは、監査レコード単位です。
• 指定時刻の後の記録
• 指定時刻の前の記録
• 指定時刻範囲の記録
• ある日の記録 (ローカルタイムである日の24時 間の記録)
• 監査クラス
• 監査イベント
• 監査セッションID
• ユーザー権限
• 戻り値 (成功、失敗、およびnone)
• ユーザー (名前またはUID数値)
以下のフォーマットを指定して監査トレールを表 示させます。
• 1行ずつ出力
• 区切り文字指定 (デフォルトはカンマ)
• UIDのユーザー名への変換抑止とIPアドレスの
viewaudit • 区切り文字を入力文字に使用
す る 場 合 は 引 用 符 で 囲 み ま す。また区切り文字は最大3文 字です。
• 戻り値は以下のとおりです。
成功:0 失敗:0以外 none:戻り値なし
(noneは戻り値の監査トークン
がないことを示します)
カウントを指定すると、監査トレールがフルになった場合、新しい監査トレール・データは捨てられ
(ドロップ) 、その捨てられたレコード回数 (ドロップ回数) がカウントされます。
サスペンドを指定する場合は、auditadmのユーザー権限をもち、かつ監査ポリシーがdisableであるユー ザーアカウントをあらかじめ作成しておく必要があります。
サスペンドを指定して、監査トレールがフルになった場合、XSCFはロックします。XSCFがロックし た場合、あらかじめ設定しておいた監査ポリシーがdisable のユーザーアカウントでログインし、監査 トレールを削除してください。その後、XSCFの操作を再開してください。
監査ポリシーがdisable のユーザーアカウントを作成していなかった場合、サスペンドを指定して、監 査トレールがフルになったとき、監査トレールを削除したり、ほかの機能を実行したりできません。こ
の場合、defaultのユーザーアカウントを使ってログインし、監査トレールを削除してください。default
のログインについては、「2.1.1 XSCFシェルを使ってのセットアップの概要」を参照してください。
注 1) 監査を無効にすると、監査トレールへの書き込みが停止され、ログアーカイブ機構にログ ファイル転送要求が出されます。監査を有効にすると、書き込みが再開されます。リブート を行うと監査を無効につづき有効にする処理が行われます。
アーカイブを行うためには、アーカイブホストとディレクトリの指定が必要です。「2.2.10 ログアーカイブ設定」を参照してください。
XSCFのローカルな監査ファイルにはプライマリーとセカンダリーがあります。アーカイブ を行っても、監査ファイルの閾値を越えなければデータはそのまま保持されます。したがっ てローカル監査ファイルの使用量が0になることはありません。
注 2) グローバルポリシーについての詳細は、『アドミニストレーションガイド』を参照してくだ さい。
注 3) サスペンドを指定すると、監査トレールがフルになった場合、XSCFシェルやXSCF Webの 操作はロックされ、操作を完了できません。空きができるまで、または監査ポリシーをカウ ントに変更するまでは、監査トレールへのそれ以上の書き込みは行われなくなります。
注4) 警告はコンソールメッセージや、セキュアなEメールに表示されます。以下は例です。
例: WARNING: audit trail is 91% full
現在の監査トレールのファイルは、リモートホストに転送するか、または削除することで ファイルの記憶域を空けることができます。転送および削除については、「監査の有効/無 効、ログファイル転送、およびデータ消去を設定するには」、『XSCFリファレンスマニュア ル』、またはマニュアルページを参照してください。また、監査ポリシーについては『アド ミニストレーションガイド』を参照してください。
注 5) viewaudit (8)コマンドについての詳細は、『XSCFリファレンスマニュアル』を参照してくだ
さい。
• 監査の有効/無効、ログファイル転送、およびデータ消去を設定するには
•
コマンド操作1 showaudit (8) コマンドで監査設定を表示します。
2 setaudit (8) コマンドで監査設定を行います。
< 例 > システムの Audit の現在のステータスをすべて表示 XSCF> showaudit all
Auditing: enabled Audit space used: 13713 (bytes) Audit space free: 4180591 (bytes) Records dropped: 0
Policy on full trail: count User global policy: enabled Mail:
Thresholds: 80% 100%
User policy:
Events:
AEV_AUDIT_START enabled AEV_AUDIT_STOP enabled :
< 例 1> 監査の書き込み無効指定、ログファイル転送指示 XSCF> setaudit disable
< 例 2> 監査の書き込み有効指定 XSCF> setaudit enable
Turns on writing of the audit records for the audit trail.
< 例 3> 監査トレールのログファイル転送指示 XSCF> setaudit archive
< 例 4> 監査トレールのログデータを消去 XSCF> setaudit delete
• 監査ポリシーを設定するには
•
コマンド操作1 showaudit (8) コマンドで監査ポリシー設定を表示させます。
2 setaudit (8) コマンドで監査ポリシー設定を行います。
3 showaudit (8) コマンドで設定を確認します。
XSCF> showaudit all
Auditing: enabled Audit space used: 13713 (bytes) Audit space free: 4180591 (bytes) Records dropped: 0
Policy on full trail: suspend User global policy: enabled Mail:
Thresholds: 80% 100%
User policy:
Events:
AEV_AUDIT_START enabled AEV_AUDIT_STOP enabled :
< 例 1> ユーザー 3 人、監査クラスは、AUDIT と LOGIN グループが有効、監査イベントは SSH ロ グインが有効、ユーザーはグローバルなポリシーを無効 で指定
XSCF> setaudit -a yyyyy,uuuuu,nnnnn=enabe -c ACS_AUDIT,ACS_LOGIN=enable -e AEV_LOGIN_SSH=enable -g disable
< 例 2> 警告送信先メールアドレスユーザー、監査トレール・フル時はカウント、ファイル使 用量警告閾値を指定
XSCF> setaudit -m [email protected] -p count -t 50,75,90
XSCF> showaudit all
Auditing: enabled Audit space used: 13713 (bytes) Audit space free: 4180591 (bytes) Records dropped: 0
Policy on full trail: count User global policy: enabled
Mail: [email protected] Thresholds: 50% 75% 90%
User policy:
Events:
AEV_AUDIT_START enabled AEV_AUDIT_STOP enabled AEV_LOGIN_BUI enabled AEV_LOGIN_CONSOLE enabled AEV_LOGIN_SSH enabled AEV_LOGIN_TELNET enabled :