付録E.4 UNIXシステムログの監査ログ出力情報
ここでは,UNIXシステムログの監査ログ出力情報を次の表に示します。
|
項番 |
UNIXシステムログ |
共通部 |
固有部 |
||||||
|---|---|---|---|---|---|---|---|---|---|
|
ログ内容 |
監査ログID |
メッセージID |
コンポーネント名 |
プロセスID |
監査事象結果 |
op |
before:uid |
after:uid |
|
|
1 |
ログインの成功※1 |
1〜2147483647※2 |
0001 |
LOGIN |
ログ中の値を利用 |
Success |
Login |
出力項目名ごとなし |
出力項目名ごとなし |
|
2 |
ログアウト※1 |
1〜2147483647※2 |
0002 |
LOGIN |
ログ中の値を利用 |
Success |
Logout |
出力項目名ごとなし |
出力項目名ごとなし |
|
3 |
ログインの失敗※3 |
1〜2147483647※2 |
0003 |
LOGIN |
ログ中の値を利用 |
Failure |
Login |
出力項目名ごとなし |
出力項目名ごとなし |
|
4 |
suコマンドの成功 |
1〜2147483647※2 |
0004 |
SU |
-1 |
Success |
su |
変更前ユーザID |
変更後ユーザID |
|
5 |
suコマンドの失敗 |
1〜2147483647※2 |
0005 |
SU |
-1 |
Failure |
su |
変更前ユーザID |
変更後ユーザID |
- 注※1
-
収集対象とする製品によってはログアウトの情報を収集できない場合があります。また,ログイン,ログアウトの情報が二つ収集されることがあります。さらに,使用しているOSによって出力するユーザ名やリモートホスト名の最大文字数が異なります。このためユーザ名やリモートホスト名が正しく出力されないことがあります。
- 注※2
-
監査ログIDは,項番1と2,項番3,項番4と5のそれぞれで通番となります。
- 注※3
-
収集対象となる製品によってはログインの失敗情報を収集できないことがあります。
なお,次の表に示す項目はUNIXシステムログのすべてのログで共通です。
|
共通部 |
固有部 |
||||||
|---|---|---|---|---|---|---|---|
|
日時 |
プログラム名 |
発生場所 |
監査事象種別 |
サブジェクト種別 |
サブジェクト情報 |
obj |
msg |
|
ログ中の値を利用 |
OS名
|
ログ取得サーバ名 |
Authentication |
ユーザID(uid) |
ユーザ名※1 |
OS |
Device_name※2 |
- 注※1
-
ユーザ名に制御文字が含まれる場合,制御文字は空白で出力されます。
- 注※2
-
Device_nameは次の例のように出力されます。
デバイス名:/dev/pts/tb
出力情報:pts/tbまたはtb
また,Device_nameには,「ftpxxxx」,「ftpdxxxx」,「FTP」,「rshxxxx」,「sshxxxx」などのデバイス名以外の情報が出力されます。OSによって出力される情報の形式が異なります。なお,「xxxx」は任意の半角英数字です。
- 注意事項
-
sulogを収集する場合,OSが出力するログには年の情報は出力されません。UNIXシステムログ変換コマンドでは,次の方法で年の情報を追加して出力します。
- 「ログ中の月<=UNIXシステムログの変換を実施した月」の場合
-
「変換を実施した時点の年」の情報を追加。
- 「ログ中の月>UNIXシステムログの変換を実施した月」の場合
-
「変換を実施した時点の年 - 1」の情報を追加。
例えば,ログ中の月が11月で,2007年10月にUNIXログ変換を実施した場合,2006年11月として情報が追加されます。なお,ファイルに1年以上のデータが蓄積されていた場合,年が正しく設定されないことがあります。