監査証跡ファイル

監査証跡ファイルは、一連の監査レコードで構成されます。各監査レコードは、1つのイベントを表します。監査証跡ファイルは、mount_point/.Security/auditディレクトリにあります。

Oracle ACFS監査で生成される監査証跡ファイルは、次に対して使用可能になることが想定されています。

• テキスト表示ツールを使用した、Oracle ACFS監査者による手動確認

• Oracle Audit Vault and Database Firewallへのインポート

• 監査ソースを解析およびインポートできるサード・パーティ製品

監査証跡ファイルは、監査レコードで構成されます。監査レコードには複数の異なるタイプがあり、それぞれが一意のイベントのタイプを表し、イベントの診断に関連する様々な情報が含まれます。イベントのタイプは、次のとおりです。

• ファイル・アクセス・イベント

• 権限使用イベント

• 評価結果イベント

監査証跡ファイルに入力された監査レコード・フィールドの組合せは、イベント・タイプによって異なります。

各レコードは、フィールドの名前と値のセットとして監査証跡ファイルに書き込まれます。レコードのタイプに応じて、フィールドの数およびタイプが異なります。フィールドは、名前と値のペアで構成され、field name:valueの形式で、最後に改行文字が続きます。

監査証跡ファイルに指定できる監査レコード・フィールドについて、次のリストで説明します。丸カッコで囲まれた文字列は、監査証跡ログ・ファイルに表示されるフィールド名です。

• タイムスタンプ(Timestamp): イベントが発生した時間で、常にUTCで指定されます。タイムスタンプの形式は、MM/DD/YYYY HH:MM:SS UTCです。

• イベント・コード(Event): イベントのタイプを識別するコード。評価結果コードのリストは、「ファイル・アクセス・イベント」および「権限使用イベント」を参照してください。

• ソース(Source): Oracle ACFS

• ユーザー識別(User): イベントをトリガーしたユーザー。これは、LinuxプラットフォームではユーザーIDで、WindowsではユーザーSIDです。

• グループ識別(Group): イベントをトリガーしたユーザーのプライマリ・グループ。これは、Linuxプラットフォームではユーザーのプライマリ・グループのIDで、Windowsではユーザーのプライマリ・グループのSIDです。

• プロセス識別(Process): 現在のプロセスID。

• ホスト名(Host): イベントを記録したホスト。

• アプリケーション名(Application): 現在のプロセス用のアプリケーション名。

• レルム名(Realm): 違反したレルム、または、認可され、ファイルを保護しているレルムの名前。

• ファイル名(File): ユーザーがアクセスしていたファイル名。

• 評価結果(Evaluation Result): このフィールドには、実行されたコマンドの結果に関する情報が含まれます。評価結果コードのリストは、「評価結果イベント」を参照してください。

• ファイルシステムID (FileSystem-ID):

• メッセージ(Message): メッセージ・フィールドには、実行されたコマンドに関する情報およびその結果が含まれています。

例11-1に、監査証跡ファイルの例を示します。

例11-1 監査証跡ファイルの例

Timestamp: 06/08/12 11:00:37:616 UTC
Event: ACFS_AUDIT_READ_OP
Source: Oracle_ACFS
User: 0
Group: 0
Process: 1234
Host: slc01hug
Application: cat
Realm: MedicalDataRealm
File: f2.txt
Evaluation Result: ACFS_AUDIT_REALM_VIOLATION
FileSystem-ID: 1079529531
Message: Realm authorization failed for file ops READ

Timestamp: 06/08/12 11:00:37:616 UTC
Event: ACFS_AUDIT_WRITE_OP
Source: Oracle_ACFS
User: 102
Group: 102
Process: 4567
Host: slc01hug
Application: vi
Realm: PayrollRealm,SecuredFiles
File: f2.txt
Evaluation Result: ACFS_AUDIT_REALM_AUTH
FileSystem-ID: 1079529531
Message: Realm authorization succeeded for file ops WRITE

Timestamp: 06/08/12 10:42:20:977 UTC
Event: ACFS_SEC_PREPARE
Source: Oracle_ACFS
User: 507867
Group: 8500
Process: 603
Host: slc01hug
Application: acfsutil.bin
Evaluation Result: ACFS_CMD_SUCCESS
FileSystem-ID: 1079529531
Message: acfsutil sec prepare: ACFS-10627: Mount point '/mnt' is now
prepared for security operations.