設定変更のサンプルコード監査

このサンプルコードは、構成シークレットデータのすべての変更を監査し、Audit-File という名前のファイルにログを送信します。

このサンプルコードは、シークレットデータだけでなく、構成に対するすべての変更を監査する最小監査の範囲を拡張し、Audit-File という名前のファイルにログを送信します。

例:設定変更のシステムロギング

この例では、設定例を示し、ユーザーとシークレットデータを変更します。次に、シークレットデータが元の構成に追加され、コマンドでコミットされると、監査サーバーに送信される情報が load 表示されます。

新しい設定は、秘密データ設定ステートメントを変更し、新しいユーザーを追加します。

表 1 は、NDcPPv2.2e の syslog 監査のサンプルを示しています。

表 1:監査可能なイベント
要件	監査可能なイベント	追加の監査記録の内容	イベントの生成方法
FAU_GEN.1	なし	なし
FAU_GEN.2	なし	なし
FAU_STG_EXT.1	なし	なし
FAU_STG.1	なし	なし
FCS_CKM.1	なし	なし
FCS_CKM.2	なし	なし
FCS_CKM.4	なし	なし
FCS_COP.1/DataEncryption	なし	なし
FCS_COP.1/SigGen	なし	なし
FCS_COP.1/ハッシュ	なし	なし
FCS_COP.1/KeyedHash	なし	なし
FCS_COP.1(1)	なし	なし
FCS_COP.1	なし	なし
FCS_RBG_EXT.1	なし	なし
FIA_PMG_EXT.1	なし	なし
FIA_UIA_EXT.1	識別および認証メカニズムのすべての使用。	試行の送信元(IP アドレスなど)	ローカルログインの成功 1 月 3 09:59:36 ログイン[7637]: LOGIN_INFORMATION:デバイス ttyu0 のホスト [不明] からログインしたユーザールート 1 月 3 09:59:36 ログイン[7637]: LOGIN_ROOT:デバイス ttyu0 でホスト [不明] から root としてログインしたユーザー root ローカルログインの失敗 1 月 3 日 09:57:52 ログイン[7637]: LOGIN_PAM_AUTHENTICATION_ERROR: ユーザー root のパスワード失敗 1 月 3 日 09:57:52 ログイン[7637]: LOGIN_FAILED: host ttyu0 からのユーザー root のログインに失敗しましたリモートログインの成功 1 月 3 09:32:07 mgd[47035]: UI_AUTH_EVENT: 認証済みユーザー 'test1' がクラスに割り当てられた 'j-read-only' 1 月 3 09:32:07 mgd[47035]: UI_LOGIN_EVENT: ユーザー 'test1' ログイン、クラス 'j-read-only' [47035] , ssh-connection '10.1.5.153 36784 10.1.2.68 22', クライアントモード 'cli' 失敗したリモートログイン Jan 3 09:26:56 sshd: SSHD_LOGIN_FAILED: host '10.1.5.153' からのユーザー 'test1' のログインに失敗しました
FIA_UAU_EXT.2	識別および認証メカニズムのすべての使用。	試行の送信元(IP アドレスなど)	ローカルログインの成功 1 月 3 09:59:36 ログイン[7637]: LOGIN_INFORMATION:デバイス ttyu0 1 月 3 09:59:36 ログイン[7637]: LOGIN_ROOT: デバイス ttyu00 のホスト [unknown] から root としてログインしたユーザールートローカルログインの失敗 1 月 3 日 09:57:52 ログイン[7637]: LOGIN_PAM_AUTHENTICATION_ERROR: ユーザー root のパスワード失敗 1 月 3 日 09:57:52 ログイン[7637]: LOGIN_FAILED: host ttyu0 からのユーザー root のログインに失敗しましたリモートログインの成功 1 月 3 09:32:07 mgd[47035]: UI_AUTH_EVENT: 認証済みユーザー 'test1' がクラスに割り当てられた 'j-read-only' 1 月 3 09:32:07 mgd[47035]: UI_LOGIN_EVENT: ユーザー 'test1' ログイン、クラス 'j-read-only' [47035] , ssh-connection '10.1.5.153 36784 10.1.2.68 22', クライアントモード 'cli' 失敗したリモートログイン Jan 3 09:26:56 sshd: SSHD_LOGIN_FAILED: host '10.1.5.153' からのユーザー 'test1' のログインに失敗しました
FIA_UAU.7	なし	なし
FMT_MOF.1/手動による更新	手動更新を開始しようとする試み	なし	12月28日21:51:21 mgd[8007]:UI_CMDLINE_READ_LINE:ユーザー 'root', コマンド 'request vmhost software add /var/tmp/junosvmhost-installmx-x86-64-19.1-20181231.0.tgz no-validate'
FMT_MTD.1/コアデータ	なし	なし
FMT_SMF.1	TSFデータの全管理活動	なし	この表に記載されている監査イベントを参照してください。
FMT_SMR.2	なし	なし
FPT_SKP_EXT.1	なし	なし
FPT_APW_EXT.1	なし	なし
FPT_TST_EXT.1	なし	なし	オンデマンド自己テスト用のコマンドラインでを入力 `request system fips self-test` します。または起動時に自己テストを表示するには、デバイスを再起動します。
FPT_TUD_EXT.1	更新の開始。更新試行の結果(成功または失敗)	なし	12月28日21:51:21 mgd[8007]:UI_CMDLINE_READ_LINE:ユーザー'root',コマンド 'request vmhostソフトウェア追加/var/tmp/junos-add vmhost-install-mxx86-64-19.1-20181231.0.tgz no-validate'
FPT_STM_EXT.1	システム管理者が自動プロセスで駆動または変更する、不連続な時間変更。(ログに記録する必要がある時間の継続的な変更は必要ありません。See also application note on FPT_STM_EXT.1)	不連続な時間変更の場合:時間の古い値と新しい値。成功と失敗の時間(IP アドレスなど)を変更しようとする試みの送信元。	4 月 22 日 15:31:37 mgd[11121]: UI_CMDLINE_READ_LINE: ユーザー 'root', コマンド '設定日 201904221532.00 4 月 22 日 15:32:05 mgd[11121]: UI_CMDLINE_READ_LINE: ユーザー 'root', コマンド 'show system uptime'
FPT_STM_EXT.1 FTA_SSL_EXT.1(「セッションを終了する」が選択されている場合)	セッションロックメカニズムによるローカルインタラクティブセッションの終了。	なし	1月3日11:59:29 cli:UI_CLI_IDLE_TIMEOUT:ユーザー 'root' を超えてセッションが終了したアイドルタイムアウト
FTA_SSL.3	セッションロックメカニズムによるリモートセッションの終了。	なし	1月3日11:26:23 cli:UI_CLI_IDLE_TIMEOUT:ユーザー'root'を超え、セッションが終了したアイドルタイムアウト
FTA_SSL.4	インタラクティブセッションの終了。	なし	地元の 1月3日11:47:25 mgd[52521]:UI_LOGOUT_EVENT:ユーザー'root'ログアウトリモート 1月3日11:43:33 sshd[52425]:10.1.5.153ポートからの切断を受け取りました36800:11:ユーザーによる切断
FTA_TAB.1	なし	なし
FTP_ITC.1	信頼できるチャネルの開始。信頼できるチャネルの終端。信頼できるチャネル機能の障害。	失敗した信頼できるチャネル確立の試みの開始側とターゲットの特定。	信頼されたパスの開始 Jan 3 12:09:00 sshd[53492]: 10.1.5.153ポート36802 ssh2からroot用に受け入れられたキーボードインタラクティブ/pam 信頼されたパスの終了 Jan 3 12:09:03 sshd[53492]: 10.1.5.153ポートからの切断を受け取りました 36802:11:ユーザーによる切断 Jan 3 12:09:36 sshd: 信頼されたパスの障害 SSHD_LOGIN_FAILED: ホスト '10.1.5.153' からのユーザー 'root' のログインに失敗しました
FTP_TRP.1/管理者	信頼されたパスの開始。信頼されたパスの終了。信頼されたパス機能の障害。	なし	信頼されたパスの開始 Jan 3 12:09:00 sshd[53492]: 10.1.5.153ポート36802 ssh2からroot用に受け入れられたキーボードインタラクティブ/pam 信頼されたパスの終了 Jan 3 12:09:03 sshd[53492]: 10.1.5.153ポートからの切断を受け取りました 36802:11:ユーザーによる切断 Jan 3 12:09:36 sshd: 信頼されたパスの障害 SSHD_LOGIN_FAILED: ホスト '10.1.5.153' からのユーザー 'root' のログインに失敗しました
FCS_SSHS_EXT.1	SSHセッションの確立に失敗	失敗の原因	12 月 17 日 15:02:12 sshd[9842]: 10.1.5.153 ポート 43836 でネゴシエートできません。一致する鍵交換方法が見つかりません。そのオファー:diffie-hellman-group1-sha1、ext-info-c
FIA_X509_EXT.1/Rev	証明書の検証に失敗した TOE のトラストストア内のトラストアンカーの追加、交換、または削除	証明書の検証に失敗した理由 TOE のトラストストアに信頼アンカーとして追加、交換、または削除された証明書の識別	12月28日 22:20:23 veriexec[9371] : /packages/db/pkginstを検証できません。9286/manifest.ecerts:件名発行者不一致: /C=US/ST=CA/L=Sunnyvale/O=Juniper Networks/OU=Juniper CA/CN=PackageProductionTestEc_2017_NO_DEFECTS/emailAddress=ca@juniper.net
FIA_X509_EXT.2	なし	なし
FPT_TUD_EXT.2	更新の失敗	障害の原因(無効な証明書の識別子を含む)	12月28日 22:20:23 veriexec[9371] : /packages/db/pkginstを検証できません。9286/manifest.ecerts: subject 発行者不一致: /C=US/ST=CA/L=Sunnyvale/O=Juniper Networks/OU=Juniper CA/CN=PackageProductionTestEc_2017_NO_DEFECTS/emailAddress=ca@juniper.net
FMT_MOF.1/機能	なし	なし
FMT_MOF.1/サービス	なし	なし
FMT_MTD.1/CryptoKeys	なし	なし
FIA_AFL.1	過度の認証エラーによる管理者のロックアウト	なし	1 月 3 08:13:59 sshd:SSHD_LOGIN_ATTEMPTS_THRESHOLD: ユーザー 'test1' が認証試行に失敗した場合のしきい値 (2)

設定変更のサンプルコード監査

関連ドキュメント