12.8.2 統一フォーマット用監査証跡ファイルの形式と出力項目
ここでは,adbconvertaudittrailfileコマンドで変換された監査証跡が出力される,統一フォーマット用監査証跡ファイルの形式について説明します。
adbconvertaudittrailfileコマンドを実行すると,統一フォーマット用監査証跡ファイルには,1行ごとに1つの監査証跡が出力されます。また,統一フォーマット用監査証跡ファイルには,最初の監査証跡が出力される前に空白行が出力されます。
統一フォーマット用監査証跡ファイルに出力される,adbconvertaudittrailfileコマンドで変換された監査証跡の出力形式と出力項目を次に示します。
- ■adbconvertaudittrailfileコマンドで変換された監査証跡の出力形式
-
CALFHM 1.0,出力項目1=値1,出力項目2=値2,出力項目3=値3,…出力項目n=値n
- ■adbconvertaudittrailfileコマンドで変換された監査証跡の出力項目
-
adbconvertaudittrailfileコマンドで変換された監査証跡の出力項目を,次の表に示します。
adbconvertaudittrailfileコマンドで変換された監査証跡の出力項目の大部分は,ADB_AUDITREAD関数で監査証跡ファイル中の監査証跡を表形式のデータ集合(表関数導出表)に変換したときの出力項目と同じです。ADB_AUDITREAD関数による表関数導出表の列構成については,「12.9.2 監査証跡を検索するときの表関数導出表の列構成」を参照してください。
なお,出力項目に出力されるデータが出力項目のバイト数の上限を超える場合は,データの先頭またはデータの末尾が省略されます。このとき,該当個所には,省略されたことを示す「...」が付与されます。次の表で,特に記述がない出力項目についてはデータの末尾が省略されます。
また,出力されるデータがNULLの場合,出力項目そのものが出力されません。
|
項番 |
出力項目 |
出力される内容 |
ADB_AUDITREAD関数で変換した表関数導出表に該当する列名 |
||
|---|---|---|---|---|---|
|
区分 |
項目名 |
属性名 |
|||
|
1 |
ヘッダ情報 |
共通仕様識別子 |
− |
CALFHMが出力されます。 統一フォーマット用監査証跡ファイル内の,すべての監査証跡の先頭に共通で出力されます。 |
なし |
|
2 |
共通仕様リビジョン番号 |
− |
1.0が出力されます。 統一フォーマット用監査証跡ファイル内の,すべての監査証跡の先頭に共通で出力されます。 |
なし |
|
|
3 |
共通情報 |
通番 |
seqnum |
1〜2,147,483,647の値が,出力行ごとにカウントされて出力されます。 最大値に達した場合は,1に戻ります。 また,adbconvertaudittrailfileコマンドの実行ごとに1に戻ります。 |
なし |
|
4 |
メッセージID |
msgid |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のEXIT_STATUS列の内容が出力されます。 |
EXIT_STATUS |
|
|
5 |
日付・時刻 |
date |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のEXEC_TIME列の内容が,次の形式で出力されます。
|
EXEC_TIME |
|
|
6 |
発生プログラム名 |
progid |
HADBが出力されます。 |
なし |
|
|
7 |
発生コンポーネント名 |
compid |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のADBDIR列の内容が,64バイト以内で出力されます。 64バイトを超える場合は,データの先頭が省略されます。 出力される値は,エスケープされます。※2 |
ADBDIR |
|
|
8 |
発生プロセスID |
pid |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のHADB_PROCESS_ID列の内容が出力されます。 |
HADB_PROCESS_ID |
|
|
9 |
発生場所 |
ocp:host |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のHADB_HOST_NAME列の内容が,64バイト以内で出力されます。 |
HADB_HOST_NAME |
|
|
10 |
事象の種別 |
ctgry |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のEVENT_SUBTYPE列の内容が,統一フォーマットで定められている種別に変換されて出力されます。 変換内容については,「表12‒6 イベント種別の値と監査事象の種別の値の対応」を参照してください。 |
EVENT_SUBTYPE |
|
|
11 |
事象の結果 |
result |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のEVENT_RESULT列の内容が出力されます。 |
EVENT_RESULT |
|
|
12 |
サブジェクト識別情報 |
subj:uid |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のUSER_NAME列の内容が出力されます。 なお,USER_NAME列の内容が,NULLのときは出力されません。 |
USER_NAME |
|
|
13 |
subj:euid |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のOS_USER_NAME列の内容が,100バイト以内で出力されます。 なお,USER_NAME列の内容がNULLのときだけ出力されます。 |
OS_USER_NAME |
||
|
14 |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のOS_USER_NAME列とUSER_NAME列の内容が,両方ともNULLの場合に,「*」が出力されます。 |
なし |
|||
|
15 |
固有情報 |
オブジェクト情報 |
obj |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のOBJECT_SCHEMA_NAME列とOBJECT_NAME列の内容が連結されて出力されます。 出力形式については,「表12‒7 オブジェクト情報の出力書式」を参照してください。 出力される値は,エスケープされます。※2 |
|
|
16 |
動作情報 |
op |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のEVENT_SUBTYPE列の内容が,32バイト以内で出力されます。 出力される値は,エスケープされます。※2 |
EVENT_SUBTYPE |
|
|
17 |
リクエスト送信元ホスト |
from:ipv4 |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のCLIENT_IP_ADDRESS列の内容が出力されます。 |
CLIENT_IP_ADDRESS |
|
|
18 |
リクエスト送信元ポート番号 |
from:port |
「表12‒10 監査証跡を検索するときの表関数導出表の列構成」のCLIENT_PORT_NUMBER列の内容が出力されます。 |
CLIENT_PORT_NUMBER |
|
|
19 |
メッセージ |
msg |
変換元の監査証跡ファイルのファイル名が出力されます。ディレクトリ名は含まれません。 出力される値は,エスケープされます。※2 |
なし |
|
- (凡例)
-
−:該当しません。
- 注※1
-
UTC(協定世界時)からのオフセットを示したタイムゾーン指定です。次のどれかが出力されます。
-
+hh:mm
UTC(協定世界時)からhh:mmだけ進んでいることを示します。
-
-hh:mm
UTC(協定世界時)からhh:mmだけ遅れていることを示します。
-
Z
UTC(協定世界時)と同じであることを示します。
日本標準時は,「+09:00」となります。
-
- 注※2
-
エスケープによって,出力される値全体が二重引用符(")で囲まれます。また,出力される値に二重引用符(")が含まれる場合は,2つの二重引用符("")に置き換えられます。
データの長さには,エスケープによる二重引用符(")も含まれます。そのため,エスケープによる二重引用符(")を含んだデータが,出力できるバイト数の上限よりも長い場合は,データの先頭またはデータの末尾が省略されます。
HADBの監査証跡のイベント種別の値と,統一フォーマットの監査事象の種別の値の対応を,次の表に示します。
|
項番 |
イベントの分類 |
イベントの種類 |
監査証跡に出力されるイベント種別の値 |
統一フォーマットの監査事象の種別の値 |
|---|---|---|---|---|
|
1 |
必須監査イベント |
システムイベント |
ADBSTART |
StartStop |
|
2 |
ADBSTOP |
|||
|
3 |
ADBCHGSRVMODE |
ConfigurationAccess |
||
|
4 |
ADBCHGNODETYPE |
|||
|
5 |
ADBCHGSQLTRC |
|||
|
6 |
ADBCLIENTDEFMANG |
|||
|
7 |
ADBMODAREA |
|||
|
8 |
ADBMODBUFF |
|||
|
9 |
ADBCOLUMNIZE |
|||
|
10 |
監査イベント |
GRANT |
AccessControl |
|
|
11 |
REVOKE |
|||
|
12 |
CREATE AUDIT |
ConfigurationAccess |
||
|
13 |
DROP AUDIT |
|||
|
14 |
ALTER USER |
AccessControl |
||
|
15 |
ADBAUDITTRAIL START |
ConfigurationAccess |
||
|
16 |
ADBAUDITTRAIL STOP |
|||
|
17 |
ADBAUDITTRAIL SWAP |
|||
|
18 |
ADBAUDITTRAIL DISPLAY |
|||
|
19 |
SELECT |
ContentAccess |
||
|
20 |
ADBEXPORT |
|||
|
21 |
ADBCONVERTAUDITTRAILFILE |
|||
|
22 |
選択監査イベント |
セッションイベント |
CONNECT |
Authentication |
|
23 |
DISCONNECT |
|||
|
24 |
権限管理イベント |
GRANT |
AccessControl |
|
|
25 |
REVOKE |
|||
|
26 |
CREATE USER |
|||
|
27 |
DROP USER |
|||
|
28 |
ALTER USER |
|||
|
29 |
定義系SQLイベント |
CREATE INDEX |
ContentAccess |
|
|
30 |
CREATE SCHEMA |
|||
|
31 |
CREATE TABLE |
|||
|
32 |
CREATE VIEW |
|||
|
33 |
DROP INDEX |
|||
|
34 |
DROP SCHEMA |
|||
|
35 |
DROP TABLE |
|||
|
36 |
DROP VIEW |
|||
|
37 |
ALTER TABLE |
|||
|
38 |
ALTER VIEW |
|||
|
39 |
操作系SQLイベント |
SELECT |
||
|
40 |
INSERT |
|||
|
41 |
UPDATE |
|||
|
42 |
DELETE |
|||
|
43 |
TRUNCATE TABLE |
|||
|
44 |
PURGE CHUNK |
|||
|
45 |
UNKNOWN |
|||
|
46 |
GETDATA |
|||
|
47 |
GETCOUNT |
|||
|
48 |
TABLES |
|||
|
49 |
COLUMNS |
|||
|
50 |
INDEXES |
|||
|
51 |
CHUNKS |
|||
|
52 |
GETUSER |
|||
|
53 |
コマンド操作イベント |
ADBIMPORT |
||
|
54 |
ADBIDXREBUILD |
|||
|
55 |
ADBGETCST |
|||
|
56 |
ADBDBSTATUS |
|||
|
57 |
ADBEXPORT |
|||
|
58 |
ADBMERGECHUNK |
|||
|
59 |
ADBCHGCHUNKCOMMENT |
|||
|
60 |
ADBCHGCHUNKSTATUS |
|||
|
61 |
ADBARCHIVECHUNK |
|||
|
62 |
ADBUNARCHIVECHUNK |
|||
|
63 |
ADBREORGSYSTEMDATA |
|||
|
64 |
ADBSYNDICT |
オブジェクト情報の出力書式を,次の表に示します。オブジェクト情報は,OBJECT_SCHEMA_NAME列およびOBJECT_NAME列の値によって,次に示すどれかの書式で出力されます。
|
項番 |
OBJECT_SCHEMA_NAME列 |
OBJECT_NAME列 |
書式 |
出力例 |
|---|---|---|---|---|
|
1 |
非ナル値 |
非ナル値 |
OBJECT_SCHEMA_NAME列とOBJECT_NAME列の値を,ピリオド(.)で連結します。 |
obj="ADBUSER01.T1" |
|
2 |
ナル値 |
非ナル値 |
OBJECT_NAME列の値だけを出力します。 |
obj="ADBUSER01"※ |
|
3 |
ナル値 |
ナル値 |
出力されません。 |
− |
- (凡例)
-
−:該当しません。
- 注※
-
CREATE SCHEMA文の出力例です。この例の場合,OBJECT_NAME列にはスキーマ名が出力されます。