過去のナビゲーションリンクのスキップSecure Global Desktop 4.40 管理者ガイド > アレイ、サーバー、負荷分散 > ログフィルタを使用した監査

ログフィルタを使用した監査

SGD では、ログフィルタを設定して次のシステムイベントを監査できます。

これらのイベントを監査するには、*/*/*auditinfo ログフィルタを設定する必要があります。任意の標準出力先を使用できますが、監査情報をコマンド行から表示するためには、.jsl ファイルに出力する必要があります。

ログの出力は、SGD サーバーが実際に実行されている場合のみ作成されます。SGD サーバーが停止している場合、UNIX システムの root ユーザーのみが監査可能なイベントを実行できます。

各イベントに関する次の情報が、ログフィルタによって記録されます。

監査ログ情報の表示

ログ出力は、標準の方法を使用して表示できます。ただし、次のコマンドがもっとも役立ちます。

過去のコマンド構文またはプログラムコードのスキップ# tarantella query audit --format text|csv|xml --filter "filter"

テキスト形式を選択した場合、SGD は画面上で読みやすい形式のログを出力しますが、これには記録されたすべての詳細情報は表示されません。CSV 形式を使用すると、記録された詳細情報はすべて表示されますが、これはファイルに出力する場合のみに適しています。

"filter" は、RFC2254 準拠の LDAP 検索フィルタです。このコマンドで、ログファイルのログフィールドから該当するエントリを検索して表示します。次の表に、監査の際に特に役立つログフィールドを示します。

ログフィールド 説明
log-category log-category は監査を行う場合は常に *auditinfo ですが、任意の標準ログフィルタのコンポーネント/サブコンポーネント/重要度の設定にすることができます。
log-date イベント発生時のシステム日時。形式は yyyy/MM/dd HH:mm:ss.SSS です。
log-event イベントの名前。
log-ip-address イベントに関連付けられているクライアントまたはサーバーの IP アドレス。
log-keyword 監査可能なイベントのキーワード ID。
log-localhost イベントが発生したピア SGD サーバーの DNS 名。
log-pid イベントのプロセス ID。
log-security-type 接続に使用されているセキュリティーのタイプ (std または ssl)。
log-systime イベント発生時のシステム時刻 (ミリ秒単位、UTC 時間)。
log-tfn-name イベントに関連付けられているオブジェクトの Federated Naming (TFN) 名。たとえば、アプリケーションセッションを起動すると、ユーザー、アプリケーション、およびアプリケーションサーバーの名前が記録されます。

すべてのログフィールドのリストは、/opt/tarantella/var/serverresources/schema/log.at.conf スキーマファイルで参照できます。

すべての log-keyword と該当する log-event を次の表に示し、イベントについて説明します。

Log-keyword Log-event 説明
createFailure createFailure ユーザーがローカルリポジトリのオブジェクトの作成に失敗しました。
createSuccess createSuccess ユーザーがローカルリポジトリのオブジェクトを作成しました。
deleteFailure deleteFailure ユーザーがローカルリポジトリのオブジェクトの削除に失敗しました。
deleteSuccess deleteSuccess ユーザーがローカルリポジトリのオブジェクトを削除しました。
loginFailure loginResultReconnect SGD サーバーからクライアントに対して、異なるポートへの再接続が要求されました。
loginFailure loginResultFailed 有効にされている認証機構のいずれによっても、ユーザーが認証されませんでした。
loginFailure loginResultRejected ログインフィルタによってユーザーのログインが拒否されました。これには、特定のサーバーで現在ログインが許可されていない、ユーザーのログインが現在許可されていない、などの原因が考えられます。
loginFailure loginResultDisabled 現在、SGD サーバーは接続を受け付けていません。
loginFailure loginResultNoAmbig SGD サーバーであいまいなユーザーのログインがサポートされていないため、あいまいなログインが失敗しました。
loginFailure loginResultAmbiguous ユーザーが十分な情報を指定したため、あいまいなログインが失敗しました。
loginFailure loginResultAnonymous SGD サーバーで匿名ログインがサポートされていないため、匿名ログインが失敗しました。
loginFailure loginResultNoSecurity 標準ポートで接続が確立されたため、セキュア接続を要求するユーザーのログインが失敗しました。
loginFailure loginResultUnresolveable SGD サーバーでユーザーを解決できなかったため、ログインが失敗しました。
loginFailure loginResultUnknown SGD サーバーで予測外のログイン結果を処理できなかったため、ログインが失敗しました。
loginSuccess webtopSessionStartedDetails ユーザーのユーザーセッションが開始されました。
logout webtopSessionEndedDetails ユーザーのユーザーセッションが停止されました。
modifyFailure modifyFailure ユーザーがローカルリポジトリのオブジェクトの変更、グローバル設定の変更、または SGD サーバーの設定の変更に失敗しました。
modifySuccess modifySuccess ユーザーがローカルリポジトリのオブジェクトの変更、グローバル設定の変更、または SGD サーバーの設定の変更を行いました。
renameFailure renameFailure ユーザーがローカルリポジトリのオブジェクトの名前変更に失敗しました。
renameSuccess renameSuccess ユーザーがローカルリポジトリのオブジェクトの名前を変更しました。
serverStart serverStart SGD サーバーが起動しました。
serverStop serverStop SGD サーバーが停止しました。
sessionEnded sessionEndedDetails ユーザーのアプリケーションセッションが停止されました。
sessionStarted sessionStartedDetails ユーザーのアプリケーションセッションが開始されました。
sslStart securitySSLStart SGD セキュリティー (SSL) サービスが開始しました。
sslStop securitySSLStop SGD セキュリティー (SSL) サービスが停止しました。

フィルタの例

失敗したログインを検索するには、次のフィルタを使用します。

過去のコマンド構文またはプログラムコードのスキップ--filter "(&(log-category=*auditinfo)(log-keyword=loginFailure))"

SGD サーバーの設定に対する、管理者 Bill Orange による変更を検索するには、次のフィルタを使用します。

過去のコマンド構文またはプログラムコードのスキップ--filter "(&(log-category=*auditinfo)(log-keyword=modifySuccess)(log-tfn-name=.../ens/o=Indigo Insurance/ou=IT/cn=Bill Orange))"
関連トピック