監査証跡ファイルは、一連の監査レコードで構成されます。各監査レコードは、1つのイベントを表します。監査証跡ファイルは、mount_point
/.Security/audit
ディレクトリにあります。
Oracle ACFS監査で生成される監査証跡ファイルは、次に対して使用可能になることが想定されています。
テキスト表示ツールを使用した、Oracle ACFS監査者による手動確認
Oracle Audit Vault and Database Firewallへのインポート
監査ソースを解析およびインポートできるサード・パーティ製品
監査証跡ファイルは、監査レコードで構成されます。監査レコードには複数の異なるタイプがあり、それぞれが一意のイベントのタイプを表し、イベントの診断に関連する様々な情報が含まれます。イベントのタイプは、次のとおりです。
監査証跡ファイルに入力された監査レコード・フィールドの組合せは、イベント・タイプによって異なります。
各レコードは、フィールドの名前と値のセットとして監査証跡ファイルに書き込まれます。レコードのタイプに応じて、フィールドの数およびタイプが異なります。フィールドは、名前と値のペアで構成され、field name:valueの形式で、最後に改行文字が続きます。
監査証跡ファイルに指定できる監査レコード・フィールドについて、次のリストで説明します。丸カッコで囲まれた文字列は、監査証跡ログ・ファイルに表示されるフィールド名です。
タイムスタンプ(Timestamp
): イベントが発生した時間で、常にUTCで指定されます。タイムスタンプの形式は、MM/DD/YYYY HH:MM:SS UTC
です。
イベント・コード(Event
): イベントのタイプを識別するコード。評価結果コードのリストは、「ファイル・アクセス・イベント」および「権限使用イベント」を参照してください。
ソース(Source
): Oracle ACFS
ユーザー識別(User
): イベントをトリガーしたユーザー。これは、LinuxプラットフォームではユーザーIDで、WindowsではユーザーSIDです。
グループ識別(Group
): イベントをトリガーしたユーザーのプライマリ・グループ。これは、Linuxプラットフォームではユーザーのプライマリ・グループのIDで、Windowsではユーザーのプライマリ・グループのSIDです。
プロセス識別(Process
): 現在のプロセスID。
ホスト名(Host
): イベントを記録したホスト。
アプリケーション名(Application
): 現在のプロセス用のアプリケーション名。
レルム名(Realm
): 違反したレルム、または、認可され、ファイルを保護しているレルムの名前。
ファイル名(File
): ユーザーがアクセスしていたファイル名。
評価結果(Evaluation
Result
): このフィールドには、実行されたコマンドの結果に関する情報が含まれます。評価結果コードのリストは、「評価結果イベント」を参照してください。
ファイルシステムID (FileSystem-ID
):
メッセージ(Message
): メッセージ・フィールドには、実行されたコマンドに関する情報およびその結果が含まれています。
例11-1に、監査証跡ファイルの例を示します。
例11-1 監査証跡ファイルの例
Timestamp: 06/08/12 11:00:37:616 UTC Event: ACFS_AUDIT_READ_OP Source: Oracle_ACFS User: 0 Group: 0 Process: 1234 Host: slc01hug Application: cat Realm: MedicalDataRealm File: f2.txt Evaluation Result: ACFS_AUDIT_REALM_VIOLATION FileSystem-ID: 1079529531 Message: Realm authorization failed for file ops READ Timestamp: 06/08/12 11:00:37:616 UTC Event: ACFS_AUDIT_WRITE_OP Source: Oracle_ACFS User: 102 Group: 102 Process: 4567 Host: slc01hug Application: vi Realm: PayrollRealm,SecuredFiles File: f2.txt Evaluation Result: ACFS_AUDIT_REALM_AUTH FileSystem-ID: 1079529531 Message: Realm authorization succeeded for file ops WRITE Timestamp: 06/08/12 10:42:20:977 UTC Event: ACFS_SEC_PREPARE Source: Oracle_ACFS User: 507867 Group: 8500 Process: 603 Host: slc01hug Application: acfsutil.bin Evaluation Result: ACFS_CMD_SUCCESS FileSystem-ID: 1079529531 Message: acfsutil sec prepare: ACFS-10627: Mount point '/mnt' is now prepared for security operations.