このページのトピック
UserSet
変更監視モジュールは、への予期しない変更をスキャンしますディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストール済みのソフトウェア、ポート、グループ、ユーザ、ファイル、 そしてそのWQLエージェントのクエリステートメント。変更監視を有効にして設定するには、「変更監視の設定」を参照してください。
UserSetエレメントはユーザのセットを表します。Windowsシステムでは、このシステムはローカルのユーザ(「ローカルユーザとグループ」のMMCスナップインによって表示されるユーザと同じユーザ)で動作します。 ローカル ユーザは、エージェントがドメインコントローラ以外で実行されている場合のみであることに注意してください。ドメインコントローラでは、UserSet要素はすべてのドメインユーザを列挙しますが、極端に大きなドメインに対しては推奨されません。
UNIXシステムの場合、監視されるユーザは「getpwent_r()」APIおよび「getspnam_r()」APIで返すように設定されたユーザです。AIXシステムでは、監視対象のユーザは /etc/passwd
ファイルにリストされています。
タグ属性
次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性 | 説明 | 必須 | 初期設定値 | 設定できる値 |
onChange | リアルタイムで監視するかどうかを示します。 | いいえ | false | true、false |
エンティティセットの属性
監視可能なエンティティの属性には次のものがあります。
一般属性
- cannotChangePassword:ユーザがパスワードの変更を許可されているかどうかを示すtrueまたはfalseです。
- 無効:アカウントが無効になっているかどうかを示すtrueまたはfalseです。Windowsシステムでは、これはユーザの「無効」チェックボックスを反映します。UNIXシステムでは、ユーザのアカウントが期限切れの場合、またはパスワードが期限切れで変更の猶予期間が経過してしまった場合、これはtrueになります。
- fullName:ユーザの表示名。
- グループ:ユーザが属するグループをカンマで区切って指定します。
- homeFolder:ホームフォルダまたはディレクトリへのパス。
- lockedOut:ユーザが明示的にロックアウトされたか、またはパスワードの試行が失敗したためにロックアウトされたかを示すtrueまたはfalseです。
- passwordHasExpired:ユーザのパスワードが期限切れかどうかを示すtrueまたはfalseです。Windowsの場合、この属性はWindows XP以降のOSでのみ使用できます
- passwordLastChanged:ユーザのパスワードが最後に変更された時刻のタイムスタンプ。これは、エージェントによって1970年1月1日UTCからの経過ミリ秒数として記録されます。Workload Security では、この値に基づいて現地時間でタイムスタンプを表示します。Unixプラットフォームでは、この属性の解決は1日であるため、レンダリングされたタイムスタンプの時間コンポーネントは無意味です。(AIXではサポートされていません)。
- passwordNeverExpires:パスワードが期限切れでない場合にtrueまたはfalseを示します。
- ユーザ:OSの既知のユーザ名。たとえば、「Administrator」や「root」があります。
Windowsのみの属性
- description:ユーザが属するプライマリグループです。
- homeDriveLetter:ネットワーク共有がユーザのホームフォルダとしてマップされるドライブ文字。
- logonScript:ユーザがログインするたびに実行するスクリプトへのパス。
- profilePath:ローミングまたは必須のWindowsユーザプロファイルが使用されている場合のネットワークパス。
Linux、AIX、およびSolarisの属性
- グループ:ユーザが属するプライマリグループです。
- logonShell:ユーザのシェルプロセスへのパス。
- passwordExpiredDaysBeforeDisabled:ユーザのパスワードが期限切れになってからアカウントが無効になった日数。Solarisでは、この属性は、ユーザが無効になるまでの非アクティブな日数を示します。(AIXではサポートされていません)。
- passwordExpiry:ユーザのアカウントの有効期限が切れて無効になった日付です。
- passwordExpiryInDays:ユーザのパスワードを変更するまでの日数。
- passwordMinDaysBetweenChanges:パスワードを変更するまでの最小日数です。
- passwordWarningDays:ユーザのパスワードの有効期限が切れるまでの日数。
簡略記法による属性
- 標準:
- cannotChangePassword
- disabled
- groups
- homeFolder
- passwordHasExpired
- passwordLastChanged
- passwordNeverExpires
- user
- logonScript (Windowsのみ)
- profilePath (Windowsのみ)
- group (Linuxのみ)
- logonShell (Linuxのみ)
- passwordExpiryInDays (Linuxのみ)
- passwordMinDaysBetweenChanges (Linuxのみ)
「key」の意味
このkeyはユーザ名です。これは階層型のEntitySetではありません。パターンはユーザ名のみに適用されます。結果として、「**」パターンは適用できません。
次の例は、任意のユーザの作成と削除を監視します(属性は明確に除外されるので、グループメンバーシップは監視対象にはなりません)。
<UserSet>
<Attributes/>
<include key="*" />
</UserSet>
次の例では、「jsmith」アカウントの追加および削除の監視に加え、アカウントのSTANDARD属性に対する変更の監視も行います(特定の属性リストが含まれていない場合、このEntitySetのSTANDARDセットが自動的に含められるためです)。
<UserSet>
<include key="jsmith" />
</UserSet>
サブエレメント
includeとexclude
これらのエレメントに指定できる属性とサブエレメントのincludeの概要は、「変更監視ルールの言語」を参照してください。
UserSetのincludeおよびexcludeに固有の属性
これ以外にも、ユーザの各種の属性をincludeおよびexcludeでの監視機能で使用できます。これらの監視では、値とユーザの属性値を比較します。各種属性のプラットフォームサポートに注意してください。すべての属性がプラットフォーム間またはプラットフォームリビジョン間で利用可能であるとはかぎりません。したがって、includeおよびexcludeエレメントを使用したこれらの監視の使用は制限されます。監視機能では、UNIXのglob形式のワイルドカードである「*」および「?」がサポートされ、パスのセパレータまたはその他の文字の正規化は実行されません。監視機能は、属性の値に対する、単純なglob形式のパターン照合です。
- 無効:trueまたはfalseは、ユーザの無効属性に一致します。次の例は、プライマリグループに「user」または「daemon」のいずれかがあるユーザを監視します。
<UserSet>
<include disabled="true"/>
</UserSet>
- グループ:ユーザのプライマリグループに対してワイルドカードが一致します。この監視はUNIXシステムにのみ適用できます。次の例は、プライマリグループに「user」または「daemon」のいずれかがあるユーザを監視します。
<UserSet>
<include group="users"/>
<include group="daemon"/>
</UserSet>
- LockedOut:trueまたはfalseが、ユーザのlockedOut属性に対して一致します。
- PasswordHasExpired:trueまたはfalseがpasswordHasExpired属性に対して一致します。
- PasswordNeverExpires:trueまたはfalseがpasswordNeverExpires属性に対して一致します。