プライマリ・コンテンツに移動
Oracle® Automatic Storage Management管理者ガイド
12cリリース1 (12.1)
B71290-10
目次へ移動
目次 		索引へ移動
索引
前
 		次

acfsutil sec realm audit enable

目的

Oracle ACFSセキュリティ・レルム内のファイルに対して、特定のコマンド・ルールまたはすべてのコマンド・ルールの監査を有効にします。

構文および説明

acfsutil sec realm audit enable -h
acfsutil sec realm audit enable realm -m mount_point
     [-l commandrule,commandrule,...]
     [-a ] [-v [ -u] ]

acfsutil sec realm audit enable -hは、ヘルプ・テキストを表示して終了します。

表16-62に、acfsutil sec realm audit enableコマンドで使用可能なオプションを示します。

表16-62 acfsutil sec realm audit enableコマンドのオプション

オプション 説明

realm

セキュリティ・レルム名を指定します。

-m mount_point

このファイルシステムがマウントされるディレクトリを指定します。

-l commandrule

監査を有効にするコマンド・ルールを指定します。

このオプションを指定しない場合、すべてのコマンド・ルールのリストはデフォルトになります。

コマンドルールのリストについては、表16-60を参照してください。コマンド・ルールのリストを表示するには、acfsutil sec info-cオプションを使用します。acfsutil sec infoを参照してください。

-a

レルム認証を監査するよう指定します。

-v [-u]

レルム違反を監査するよう指定します。–uも指定した場合、レルムのメンバーであるユーザーによるレルム違反のみが監査されます。

acfsutil sec realm audit enableコマンドを複数回実行した場合、先に行われた構成は無効にならず、新しい設定も適用されます。この動作で例外が発生するのは、このコマンドを–vオプションとともに実行し、指定したコマンド・ルールにレルム違反用の監査設定がある場合です。この場合、–uフラグが指定されたかどうかに従って、動作が更新されます。詳細は、例16-56を参照してください。

コマンド・ルールをリストする場合、複数のエントリをカンマ区切りリストで追加できます。カンマ区切りリストに空白を使用しないでください。空白を追加する場合、リストを引用符で囲います。

acfsutil sec realm audit enableコマンドで–a–vのどちらも指定しない場合、デフォルトは–vです。–a–vの両方を指定できます。

セキュリティ管理者のみがこのコマンドを実行できます。このコマンドは、Oracle ACFSセキュリティ管理者パスワードを使用して認証されます。

例16-54に、Oracle ACFSバックアップ・オペレータの監査を有効にする方法を示します。これらのユーザーはSYSTEM_Backupレルムによってファイルへのアクセスが許可され、ファイルシステム上のすべてのファイルにアクセス権を与える特別な権限が付与されるため、セキュリティ管理者は、これらのユーザーのアクションを監査できます。コマンドを実行すると、SYSTEM_Backupレルムのメンバーはいつでも、ファイルシステム上のOracle ACFSセキュリティ監査証跡に監査レコードが書き込まれているファイルを開くことができます。

例16-54 Oracle ACFSセキュリティ・バックアップ・オペレータの監査

$ /sbin/acfsutil sec realm audit enable SYSTEM_Backup 
    –m /acfsmounts/acfs1 –l OPEN –a

例16-55に、–uオプションを使用して、レルムの一部であるユーザーがレルム違反を監査する方法を示します。このシナリオでは、人事管理の機密情報がHumanResourcesセキュリティ・レルムに格納され、hrグループはこの情報へのアクセスが許可されます。ただし、ALLコマンド・ルールに適用されたルールセットにより、午後6時から午前8時まではこのデータにアクセスできません。このコマンドを使用すると、セキュリティ管理者は、許可された時間外に人事管理の従業員が機密データにアクセスしようとしているかどうかを検出できます。このコマンドを実行すると、hrグループのメンバーであるユーザーによるアクセス違反のみが監査されます。

例16-55 セキュリティ・レルム・ユーザーのみの監査

$ /sbin/acfsutil sec realm audit enable HumanResources 
    –m /acfsmounts/acfs1 –l ALL –v –u

例16-56に、acfsutil sec realm audit enableコマンドを複数実行する方法を示します。「run 1」の後、OPEN (すべての違反)およびWRITE (すべての違反)のコマンド・ルールが監査されます。「run 2」の後、OPEN (すべての違反)、WRITE (すべての違反)、およびDELETEFILE (認証)のコマンド・ルールが監査されます。「run 3」の後、OPEN (認証およびレルム・ユーザー違反)、WRITE (すべての違反)、DELETEFILE (認証)、およびTRUNCATE (認証およびレルム・ユーザー違反)のコマンド・ルールが監査されます。「run 4」の後、すべての違反がすべてのコマンド・ルールで監査されます。また、OPENDELETEFILEおよびTRUNCATEの認証が監査されます。

例16-56 acfsutil sec realm audit enableの複数回の実行

$ echo run 1
$ /sbin/acfsutil sec realm audit enable mySecureRealm 
    –m /acfsmounts/acfs1 –l OPEN,WRITE –v

$ echo run 2
$ /sbin/acfsutil sec realm audit enable mySecureRealm 
    –m /acfsmounts/acfs1 –l DELETEFILE –a

$ echo run 3
$ /sbin/acfsutil sec realm audit enable mySecureRealm
    -m /acfsmounts/acfs1 –l OPEN,TRUNCATE –a –v -u

$ echo run 4
$ /sbin/acfsutil sec realm audit enable mySecureRealm 
    –m /acfsmounts/acfs1 –v
前
 		次
目次へ移動
目次 		索引へ移動
索引