コミュニティ
system management
1823305 メンバー
3159 オンライン
109653 解決策
新規ポスト

監査ログについて

 
下っ端管理者
新しいメンバー

‎03-12-2004 04:12 PM

‎03-12-2004 04:12 PM

監査ログについて

皆様、お初にお目にかかります。

監査ログを取っているのですがログインしていないユーザIDがログに残ってしまっていて悩んでいます。

どなたか原因を知っていたら教えて頂けますか?

症状:

・ユーザID("User="で記述されている所)がログインをしていない一般のユーザIDになっている。

その他:

・ジョブコントロール製品にてスクリプトを実行している。(が、実行ユーザはrootで設定されている。)

・ログに残されている処理内容は実行されているスクリプトと辻褄が合う。

・別マシンのaudfileをaudispで実行している訳ではない。

(仮にそうしても監査対象のマシンについてはUID、GID共に統一されている為、原因として考えにくい。)

・terminal名は"????????"。(内部実行って事ですか?)

・crontabを調べたが該当ユーザIDでcronからスクリプト等を実行している訳ではない。

監査ログレコードは以下のような状態です。



manやweb上の情報を探してみたのですがどれも原因特定に繋がりませんでした。

(英語版のITRCリソースセンターにて同様の症状で困っている人は見つかりましたが結局解決に至ってないみたいです…。)

返信
3件の返信3
Na_Ka
頻繁なアドバイザー

‎03-18-2004 02:55 PM

‎03-18-2004 02:55 PM

監査ログについて

監査は詳しくないのですが。。

実行されるジョブのなかでsuを行って別ユーザになって実行されていることはありませんか?

/var/adm/sulog や syslog の中をチェックしてみてください。
返信
下っ端管理者
新しいメンバー

‎03-19-2004 09:26 AM

‎03-19-2004 09:26 AM

監査ログについて

返信ありがとうございます。

ご指摘の通り同時間帯にsuは行われています。

ただ、su後のユーザ名と監査ログに記録されているユーザ名が異なるものなのです。

補足:

実行UID/GID、起動UID/GIDについては正常なIDが記録されています。
0 感謝
返信
下っ端管理者
新しいメンバー

‎03-20-2004 02:39 PM

‎03-20-2004 02:39 PM

監査ログについて

基本に戻り調査を行なっていた所、別マシンのaudfileをaudispでレポート化しているのを発見致しました。

(勘弁して欲しい…)

よって以下の記述は嘘です。

・別マシンのaudfileをaudispで実行している訳ではない。

(仮にそうしても監査対象のマシンについてはUID、GID共に統一されている為、原因として考えにくい。)

また、統一する必要があったのはUID、GID、AID(←Audit ID)の3つです。

※AIDは監査対象ユーザに付与されるIDです。

/tcb/files/auth/(UIDの頭文字等)/(ユーザ名)ファイルに情報として格納されています。(samでも確認できますが)

監査レポート作成(audisp)時はAIDをキーにユーザマッピングを行なう為、

他マシンとAIDが統一されていない場合、異なるユーザが記録されてしまいます。

ちなみに存在しないAIDが使用されていた場合はUser=????????になってしまいます。

皆様も監査導入時にはお気を付けを…。(というか最初からバイナリログを他ホストでレポート化しようとは考えないか…)

お騒がせ致しました。

0 感謝
返信
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります