system management
1748136 メンバー
3560 オンライン
108758 解決策
新規ポスト

監査ログについて

 
下っ端管理者
新しいメンバー

監査ログについて

皆様、お初にお目にかかります。

監査ログを取っているのですがログインしていないユーザIDがログに残ってしまっていて悩んでいます。

どなたか原因を知っていたら教えて頂けますか?

症状:

・ユーザID("User="で記述されている所)がログインをしていない一般のユーザIDになっている。

その他:

・ジョブコントロール製品にてスクリプトを実行している。(が、実行ユーザはrootで設定されている。)

・ログに残されている処理内容は実行されているスクリプトと辻褄が合う。

・別マシンのaudfileをaudispで実行している訳ではない。

(仮にそうしても監査対象のマシンについてはUID、GID共に統一されている為、原因として考えにくい。)

・terminal名は"????????"。(内部実行って事ですか?)

・crontabを調べたが該当ユーザIDでcronからスクリプト等を実行している訳ではない。

監査ログレコードは以下のような状態です。



manやweb上の情報を探してみたのですがどれも原因特定に繋がりませんでした。

(英語版のITRCリソースセンターにて同様の症状で困っている人は見つかりましたが結局解決に至ってないみたいです…。)

3件の返信3
Na_Ka
頻繁なアドバイザー

監査ログについて

監査は詳しくないのですが。。

実行されるジョブのなかでsuを行って別ユーザになって実行されていることはありませんか?

/var/adm/sulog や syslog の中をチェックしてみてください。
下っ端管理者
新しいメンバー

監査ログについて

返信ありがとうございます。

ご指摘の通り同時間帯にsuは行われています。

ただ、su後のユーザ名と監査ログに記録されているユーザ名が異なるものなのです。

補足:

実行UID/GID、起動UID/GIDについては正常なIDが記録されています。
下っ端管理者
新しいメンバー

監査ログについて

基本に戻り調査を行なっていた所、別マシンのaudfileをaudispでレポート化しているのを発見致しました。

(勘弁して欲しい…)

よって以下の記述は嘘です。

・別マシンのaudfileをaudispで実行している訳ではない。

(仮にそうしても監査対象のマシンについてはUID、GID共に統一されている為、原因として考えにくい。)

また、統一する必要があったのはUID、GID、AID(←Audit ID)の3つです。

※AIDは監査対象ユーザに付与されるIDです。

/tcb/files/auth/(UIDの頭文字等)/(ユーザ名)ファイルに情報として格納されています。(samでも確認できますが)

監査レポート作成(audisp)時はAIDをキーにユーザマッピングを行なう為、

他マシンとAIDが統一されていない場合、異なるユーザが記録されてしまいます。

ちなみに存在しないAIDが使用されていた場合はUser=????????になってしまいます。

皆様も監査導入時にはお気を付けを…。(というか最初からバイナリログを他ホストでレポート化しようとは考えないか…)

お騒がせ致しました。