21.1.3 JP1/NETM/Audit用監査ログ出力ファイルの内容
(1) JP1/NETM/Audit用監査ログ出力ファイルの形式
JP1/NETM/Audit用監査ログ出力ファイルの形式を次に示します。
ファイルのヘッダ情報 JP1/NETM/Audit用監査ログ JP1/NETM/Audit用監査ログ ・・・
ファイルの先頭に,システムが使用するファイルのヘッダ情報として512バイト分のバイナリデータを出力します。ファイルのヘッダ情報の下にJP1/NETM/Audit用監査ログを出力します。JP1/NETM/Audit用監査ログは,HiRDBが出力する1レコードの監査証跡に対し,1メッセージ出力します。
(2) JP1/NETM/Audit用監査ログの形式
CALFHM 1.0,出力項目1=値1,出力項目2=値2,出力項目3=値3,・・・出力項目n=値n
CALFHM 1.0はヘッダ情報です。すべてのJP1/NETM/Audit用監査ログの先頭に,共通で出力されます。出力項目の説明については,「JP1/NETM/Audit用監査ログの出力項目」を参照してください。
- (例)
-
監査証跡が「USERAがコネクトに失敗した場合」のJP1/NETM/Audit用監査ログの出力例を示します。
CALFHM 1.0,seqnum=1,msgid=-561,date=2007-01-22T16:09:59.884+09:00, progid=HiRDB,compid=CCC,pid=1234,ocp:host=host01, ctgry=Authentication,result=Failure,subj:uid=USERA, op=CNT,from:ipv4=111.222.333.444,to:host=host01,outp:host=SRV1, subjp:ipv4=111.222.333.444,loc=HRD1,msg="2007-01-25 16:09:59.00,1"
実際に出力されるメッセージは,改行されません。
(3) JP1/NETM/Audit用監査ログの出力項目
JP1/NETM/Audit用監査ログの出力項目とHiRDBの監査証跡表の列との対応を次に示します。
JP1/NETM/Audit用監査ログの出力項目 |
出力項目の概要 |
HiRDBが管理する監査証跡表で該当する列 |
|
---|---|---|---|
ヘッダ情報 |
共通仕様識別子 |
監査ログ共通フォーマット識別子 |
なし |
共通仕様リビジョン番号 |
監査ログ共通フォーマット管理リビジョン |
なし |
|
共通情報 |
通番 |
JP1/NETM/Audit用監査ログの通番 |
なし |
メッセージID |
WS/PC製品共通メッセージ |
SQLコード/終了コード |
|
日付・時刻 |
JP1/NETM/Audit用監査ログを出力した日時,タイムゾーン |
イベント実行日 |
|
イベント実行時刻 |
|||
イベント実行時刻(マイクロ秒) |
|||
プログラム名 |
監査対象イベントが発生したプログラムの名称 |
なし |
|
コンポーネント名 |
監査対象イベントが発生したコンポーネントの名称 |
ユニット識別子 |
|
プロセスID |
監査対象イベントが発生したプロセスのプロセスID |
プロセスID |
|
発生場所 |
監査対象イベントが発生した場所の情報 |
ホスト名 |
|
監査対象イベントの種別 |
監査対象イベントのカテゴリ名 |
イベントタイプ |
|
監査対象イベントの結果 |
監査対象イベントの結果(成功,失敗,又は発生) |
イベント成否 |
|
サブジェクト識別情報 |
監査対象イベントを発生させた利用者情報,及び利用者を1:1で対応させた識別情報,又は利用者を代行するプロセス情報(利用者に関連しない場合はプロセス情報) |
イベント実行者 |
|
固有情報 |
オブジェクト情報 |
該当する事象 |
オブジェクトの種別 |
動作情報 |
サブジェクトが指示したオブジェクトに対する行為 |
イベントサブタイプ |
|
オブジェクトロケーション情報 |
オブジェクト情報を特定するための位置情報 |
オブジェクトの所有者名 |
|
オブジェクトの名称 |
|||
変更前情報 |
変更前の情報 |
セキュリティ関連変更種別 |
|
セキュリティ関連変更前定義値 |
|||
変更後情報 |
変更後の情報 |
セキュリティ関連変更種別 |
|
セキュリティ関連変更後定義値 |
|||
権限情報 |
監査対象イベントを発生させたサブジェクトがアクションを取ったときの権限 |
使用した権限 |
|
サービスインスタンス名 |
日立ミドル製品が提供するサービスに対するサービス利用者の識別子 |
関連製品付加情報 |
|
リクエスト送信元ホスト |
監査対象イベントが,複数のプログラム間での連係動作に関連する場合の,リクエストの送信元の場所の情報,及び,リクエストの送信先の場所の情報 |
IPアドレス |
|
リクエスト送信先ホスト |
ホスト名 |
||
出力元の場所 |
出力元が動作している場所の情報 |
サーバ名 |
|
指示元の場所 |
サブジェクトが指示を出した場所の情報 |
IPアドレス |
|
ロケーション識別情報 |
顧客が設定したロケーション識別情報 |
なし |
|
自由記述 |
監査対象イベントの内容を示すメッセージなどの記述 |
pdload実行時刻印 |
|
pdload内通番 |
JP1/NETM/Audit用監査ログの出力項目の詳細について説明します。なお,共通情報とは,監査ログを出力する製品で共通して出力される項目です。固有情報とは,監査ログを出力する製品ごとに出力される項目です。
(a) ヘッダ情報
ヘッダ情報に出力される項目について説明します。
-
共通仕様識別子
CALFHMが表示されます。
-
共通仕様リビジョン番号
1.0が表示されます。
- (例)
-
1レコードにつき,次のヘッダ情報が出力されます。
CALFHM 1.0
(b) 共通情報
共通情報に出力される項目について説明します。
-
通番
pdaudputを実行するたびに,1〜10けたの10進数値(1〜(231−1))を出力行ごとにカウントした値がSequenceNumに出力されます。最大値231−1に達した場合は,1に戻ります。出力形式を次に示します。
seqnum=SequenceNum
-
メッセージID
SQLコード及びリターンコードをnに出力します。SQLコード及びリターンコードがNULL値の場合,ハイフン(−)を出力します。出力形式を次に示します。
msgid=n
-
日付・時刻
次の値が出力されます。
値
内容
YYYY-MM-DD
イベント実行日が出力されます。
T
区切り記号です。
hh:mm:ss.sss
hh:mm:ssにイベント実行時刻が出力されます。また,sssにはイベント実行時刻(マイクロ秒)がミリ秒に切り捨てて設定されます。
TZD
UTC(Coordinated Universal Time)からのオフセットを示したタイムゾーン指定です。
“+hh:mm”はUTCからhh:mmだけ進んでいることを示します。“-hh:mm”はUTCからhh:mmだけ遅れていることを示します。“Z”はUTCと同じであることを示します。
出力形式を次に示します。
date=YYYY-MM-DDThh:mm:ss.sssTZD
-
プログラム名
HiRDBが表示されます。出力形式を次に示します。
progid=HiRDB
-
コンポーネント名
ユニット識別子をComponentIDに出力します。ユニット識別子がNULL値の場合,ハイフン(−)を出力します。出力形式を次に示します。
compid=ComponentID
-
プロセスID
イベント発行元のプロセスIDを,INTEGER型から文字列に変換してProcIDに出力します。イベント発行元のプロセスIDがNULL値の場合,「0」を出力します。
pid=ProcID
-
発生場所
イベント発行元のホスト名をHostnameに出力します。イベント発行元のホスト名がNULL値の場合,「0」を出力します。
ocp:host=Hostname
-
監査対象イベントの種別
HiRDBが出力するイベントタイプ及びイベントサブタイプに応じて,監査対象イベントをEventCategoryに出力します。次の表に,HiRDBが出力するイベントタイプ及びイベントサブタイプと,pdaudputが出力する監査対象イベントの種別についての対応を示します。なお,次の表が該当するのはイベント終了証跡を監査対象とする場合だけです。権限チェック時の監査証跡の場合は,AccessControlを出力します。
表21‒4 HiRDBが出力するイベントタイプ及びイベントサブタイプと,pdaudputが出力する監査対象イベントの種別についての対応 HiRDBが出力するイベントタイプ,及びイベントサブタイプ
pdaudputが出力する値,及び説明
監査
イベント
イベントタイプの値
イベントサブタイプ
の値
イベント
EventCategoryに出力する値
説明
システム管理者セキュリティイベント
SYS
STR
HiRDBの開始
StartStop
起動・停止
STP
HiRDBの終了
StartStop
起動・停止
MOD
主監査人の登録,又は監査証跡表の作成(pdmodコマンド)
ConfigurationAccess
構成定義
MDA
副監査人の登録(pdmodコマンド)
ConfigurationAccess
構成定義
ARM
監査証跡ファイルの削除(pdaudrmコマンド)
ConfigurationAccess
構成定義
ABG
監査証跡の取得開始(pdaudbeginコマンド,HiRDB起動)
StartStop
起動・停止
AEN
監査証跡の取得終了(pdaudendコマンド,HiRDB停止)
StartStop
起動・停止
OVW
監査証跡ファイルの上書き開始
ConfigurationAccess
構成定義
CLK
連続認証失敗アカウントロック状態への遷移
Authentication
識別・認証
CUL
連続認証失敗アカウントロック状態の解除
ConfigurationAccess
構成定義
PLK
パスワード無効アカウントロック状態への遷移
Authentication
識別・認証
PUL
パスワード無効アカウントロック状態の解除
ConfigurationAccess
構成定義
SPR
CONNECT関連セキュリティ機能に関するオペランドの指定値変更
ConfigurationAccess
構成定義
ULK
pdacunlckコマンドの実行
ConfigurationAccess
構成定義
監査人セキュリティイベント
AUD
ALD
監査人による監査証跡表へのデータロード(pdloadコマンド)
ConfigurationAccess
構成定義
ATL
HiRDBによる監査証跡表へのデータロード(pdloadコマンド)
ConfigurationAccess
構成定義
ASW
監査証跡ファイルのスワップ(pdaudswapコマンド)
ConfigurationAccess
構成定義
CRT
監査対象イベントの定義(CREATE AUDIT)
ConfigurationAccess
構成定義
DRP
監査対象イベントの削除(DROP AUDIT)
ConfigurationAccess
構成定義
GRT
監査人のパスワード変更(GRANT AUDIT)
ConfigurationAccess
構成定義
ATB
監査証跡表の自動データロード機能再開始(pdaudatld -bコマンド)
ConfigurationAccess
構成定義
ATT
監査証跡表の自動データロード機能停止(pdaudatld -tコマンド,データロード失敗)
ConfigurationAccess
構成定義
APT
JP1/NETM/Audit用監査ログ出力ユティリティ(pdaudputユティリティ)
ConfigurationAccess
構成定義
セッションセキュリティイベント
SES
CNT
HiRDBへの接続(CONNECT文)
Authentication
識別・認証
ATH
ユーザの変更(SET SESSION AUTHORIZATION文)
Authentication
識別・認証
DIS
HiRDBとの切り離し(DISCONNECT文)
Authentication
識別・認証
権限管理イベント
PRV
GRT
ユーザ権限の付与(GRANT文)
AccessControl
アクセス制御
パスワードの変更(CONNECT関連セキュリティ機能の設定変更種別にパスワードの変更であることが分かる情報を付与する)
RVK
ユーザ権限の削除(REVOKE文)
AccessControl
アクセス制御
オブジェクト定義イベント
DEF
CRT
オブジェクトの定義(CREATE系SQL)
ContentAccess
重要情報アクセス
DRP
オブジェクトの削除(DROP系SQL)
ContentAccess
重要情報アクセス
ALT
オブジェクトの変更(ALTER系SQL)
ContentAccess
重要情報アクセス
オブジェクト操作イベント
ACS
SEL
表の検索(SELECT文)
ContentAccess
重要情報アクセス
INS
表への行挿入(INSERT文)
ContentAccess
重要情報アクセス
UPD
表の行更新(UPDATE文)
ContentAccess
重要情報アクセス
DEL
表からの行削除(DELETE文)
ContentAccess
重要情報アクセス
PRG
表の全行削除(PURGE TABLE文)
ContentAccess
重要情報アクセス
CAL
ストアドプロシジャの実行(CALL文)
ContentAccess
重要情報アクセス
LCK
表の排他制御(LOCK TABLE文)
ContentAccess
重要情報アクセス
ASN
リストの作成(ASSIGN LIST文)
ContentAccess
重要情報アクセス
ユティリティ操作イベント
UTL
LOD
データベース作成ユティリティ(pdloadコマンド)
ContentAccess
重要情報アクセス
ORG
データベース再編成ユティリティ(pdrorgコマンド)
ContentAccess
重要情報アクセス
EXP
ディクショナリ搬出入ユティリティ(pdexpコマンド)
ContentAccess
重要情報アクセス
pddefrevコマンド
CST
整合性チェックユティリティ(pdconstckコマンド)
ContentAccess
重要情報アクセス
出力形式を次に示します。
ctgry=EventCategory
-
監査対象イベントの結果
イベント成否の結果をEventResultに出力します。イベント成否と出力される値を次の表に示します。
表21‒5 イベント成否と出力される値 イベント成否
出力される値
成功
Success
失敗
Failure
一部失敗
Failure
出力形式を次に示します。
result=EventResult
-
サブジェクト識別情報
ユーザ識別子を出力します。実行したイベントがSQLイベントの場合は,AccountIDにHiRDBが管理しているユーザIDが出力されます。実行したイベントがコマンド及びユティリティイベントの場合は,Effective UserIDにOSユーザ名が出力されます。なお,OSユーザ名は30バイトまで出力し,31バイト以降は切り捨てます。
なお,ユーザ識別子のデータ長が0の場合は「SYSTEM」と出力されます。
次の表に,イベント及びイベントタイプとサブジェクト識別情報の対応を示します。
表21‒6 イベント及びイベントタイプとサブジェクト識別情報の対応 イベントの種類
サブジェクト識別情報
監査
イベント
イベントタイプの値
イベントサブタイプ
の値
システム管理者セキュリティイベント
SYS
STR
Effective UserID
STP
Effective UserID
MOD
Effective UserID
MDA
Effective UserID
ARM
Effective UserID
ABG
Effective UserID
AEN
Effective UserID
OVW
Effective UserID
CLK
AccountID
CUL
AccountID
PLK
AccountID
PUL
AccountID
SPR
AccountID
ULK
Effective UserID
監査人セキュリティイベント
AUD
ALD
Effective UserID
ATL
Effective UserID
ASW
Effective UserID
CRT
AccountID
DRP
AccountID
GRT
AccountID
ATB
Effective UserID
ATT
Effective UserID
APT
Effective UserID
セッションセキュリティイベント
SES
CNT
AccountID
ATH
AccountID
DIS
AccountID
CMT
AccountID
RLB
AccountID
権限管理イベント
PRV
GRT
AccountID
RVK
AccountID
オブジェクト定義イベント
DEF
CRT
AccountID
DRP
AccountID
ALT
AccountID
オブジェクト操作イベント
ACS
SEL
AccountID
INS
AccountID
UPD
AccountID
DEL
AccountID
PRG
AccountID
CAL
AccountID
LCK
AccountID
ASN
AccountID
ユティリティ操作イベント
UTL
LOD
Effective UserID
ORG
Effective UserID
EXP
Effective UserID
CST
Effective UserID
SQLイベントを実行した場合の出力形式を次に示します。
subj:uid=AccountID
コマンド及びユティリティイベントを実行した場合の出力形式を次に示します。
subj:euid=Effective UserID
(c) 固有情報
-
オブジェクト情報
オブジェクトの種別をObjectに出力します。オブジェクト種別がNULL値の場合は出力しません。出力形式を次に示します。
obj=Object
-
動作情報
表「HiRDBが出力するイベントタイプ及びイベントサブタイプと,pdaudputが出力する監査対象イベントの種別についての対応」に示した,イベントサブタイプの値がOperationに出力されます。出力形式を次に示します。
op=Operation
-
オブジェクトロケーション情報
オブジェクト情報を特定するためのオブジェクト所有者,及びオブジェクト名称をObjectLocationに出力します。NULL値の場合はどちらも出力しません。
オブジェクト所有者の出力形式を次に示します。
objloc:user=ObjectLocation
オブジェクト名称の出力形式を次に示します。
objloc:name=ObjectLocation
-
変更前情報
セキュリティ関連変更種別及びセキュリティ関連変更前定義値をBeforeに出力します。「セキュリティ関連変更種別_セキュリティ関連変更前定義値」の形式で出力します。
ただし,セキュリティ関連変更前定義値がNULL値の場合は,セキュリティ関連変更前定義値の部分にはハイフン(−)を出力します。出力形式を次に示します。
before=Before
-
変更後情報
セキュリティ関連変更種別及びセキュリティ関連変更後定義値をAfterに出力します。「セキュリティ関連変更種別_セキュリティ関連変更後定義値」の形式で出力します。
ただし,セキュリティ関連変更後定義値がNULL値の場合は,セキュリティ関連変更後定義値の部分にはハイフン(−)を出力します。出力形式を次に示します。
after=After
-
権限情報
使用した権限をAuthorityに出力します。使用した権限が‘△△△’(空白3文字)の場合は出力しません。出力形式を次に示します。
auth=Authority
-
サービスインスタンス名
関連製品付加情報をServiceInstanceに出力します。関連製品付加情報がNULL値の場合は出力しません。出力形式を次に示します。
sins=ServiceInstance
-
リクエスト送信元ホスト
リクエスト送信元ホストをIPアドレス(IPv4)でaaa.bbb.ccc.dddに出力します。イベント発行元のIPアドレスがNULL値の場合は出力しません。出力形式を次に示します。
from:ipv4=aaa.bbb.ccc.ddd
-
リクエスト送信先ホスト
リクエスト送信先ホストをホスト名でHostnameに出力します。イベント受け付け元のホスト名がNULL値の場合は出力しません。出力形式を次に示します。
to:host=Hostname
-
出力元の場所
出力元の場所のサーバ名を,ホスト名形式でHostnameに出力します。サーバ名称がNULL値の場合は出力しません。出力形式を次に示します。
outp:host=Hostname
-
指示元の場所
指示元の場所をIPアドレス(IPv4)で出力します。イベント発行元のIPアドレスがNULL値の場合は出力しません。出力形式を次に示します。
subjp:ipv4=aaa.bbb.ccc.ddd
-
ロケーション識別情報
HiRDB識別子をLocationに出力します。出力形式を次に示します。
loc=Location
-
自由記述
PDLOAD_TIMESTAMP値をYYYY-MM-DD hh:mm:ss.nnに,PDLOAD_SEQNUM値をpdloadseqnumに出力します。どの監査証跡がJP1/NETM/Audit用監査ログ出力ファイルに出力されたかについて,この項目の値,監査証跡表のPDLOAD_TIMESTAMP値,及びPDLOAD_SEQNUM値を用いて確認できます。出力形式を次に示します。
msg=”YYYY-MM-DD hh:mm:ss.nn,pdloadseqnum”