変更監視モジュールは、ディレクトリレジストリ値レジストリキーサービスプロセスインストールされたソフトウェアポートグループ、ユーザ、ファイル、およびエージェント上のWQLクエリステートメントに対する予期しない変更をスキャンします。変更監視を有効にして構成するには、変更監視の設定を参照してください。
UserSet要素はユーザのセットを表します。Windowsシステムでは、システムにローカルなユーザ (ローカルユーザとグループのMMCスナップインに表示される同じユーザ) に対して操作します。エージェントがドメインコントローラ以外のもの上で実行されている場合、これらはローカルユーザであることに注意してください。ドメインコントローラ上では、UserSet要素はすべてのドメインユーザを列挙しますが、非常に大きなドメインに対しては推奨されない場合があります。
Unixシステムでは、監視されるユーザはgetpwent_r () およびgetspnam_r () APIが返すように設定されているものです。特にAIXシステムでは、監視されるユーザは/etc/passwdファイルに記載されているものです。

タグ属性

次の表は、変更監視ルールによって監視されるエンティティの属性ではなく、タグ自体のXML属性のリストと説明を示しています。
属性
説明
必須
初期設定値
設定できる値
onChange
リアルタイムで監視するかどうかを示します。
いいえ
false
true、false

エンティティセットの属性

監視可能なエンティティの属性には次のものがあります。

共通属性

  • cannotChangePassword: ユーザがパスワードの変更を許可されているかどうかを示すtrueまたはfalseです。
  • disabled: trueまたはfalseで、アカウントが無効になっているかどうかを示します。 Windowsシステムでは、これはユーザの[無効]オプションを反映します。 UNIXシステムでは、ユーザのアカウントの有効期限が切れている場合、またはパスワードの有効期限が切れていて、パスワードを変更するための非アクティブな猶予期間が経過している場合にこの問題が発生します。
  • fullName: ユーザの表示名。
  • グループ: ユーザが属するグループをカンマで区切って指定します。
  • homeFolder: ホームフォルダまたはディレクトリへのパス。
  • lockedOut: ユーザが明示的にロックアウトされたか、またはパスワードの試行が失敗したためにロックアウトされたかを示すtrueまたはfalseです。
  • passwordHasExpired: ユーザのパスワードが期限切れかどうかを示すtrueまたはfalseです。Windowsの場合、この属性はWindows XP以降のOSでのみ使用できます
  • passwordLastChanged: ユーザのパスワードが最後に変更されたときのタイムスタンプ。これは、1970年1月1日からのミリ秒数としてエージェントによって記録されます。 Workload Securityは、この値に基づいてタイムスタンプを現地時間で表示します。 UNIXプラットフォームでは、この属性の分解能は1日であるため、表示されるタイムスタンプの時間コンポーネントは意味をなさないことに注意してください。 AIXではサポートされていません。
  • passwordNeverExpires: パスワードが期限切れでない場合にtrueまたはfalseを示します。
  • user: オペレーティングシステムで認識されているユーザの名前。たとえば、管理者またはルートです。

Windowsのみの属性

  • description: ユーザが属するプライマリグループです。
  • homeDriveLetter: ネットワーク共有がユーザのホームフォルダとしてマップされるドライブ文字。
  • logonScript: ユーザがログインするたびに実行するスクリプトへのパス。
  • profilePath: ローミングまたは必須のWindowsユーザプロファイルが使用されている場合のネットワークパス。

Linux、AIX、およびSolarisの属性

  • group: ユーザが属するプライマリグループ。
  • logonShell: ユーザのシェルプロセスへのパス。
  • passwordExpiredDaysBeforeDisabled: ユーザのパスワードの有効期限が切れてからアカウントが無効になるまでの日数。 Solarisでは、この属性は、ユーザが無効になるまでの非アクティブな日数を示します。 AIXではサポートされていません。
  • passwordExpiry: ユーザのアカウントの有効期限が切れて無効になった日付です。
  • passwordExpiryInDays: ユーザのパスワードを変更するまでの日数。
  • passwordMinDaysBetweenChanges: パスワードを変更するまでの最小日数です。
  • passwordWarningDays: ユーザのパスワードの有効期限が切れるまでの日数。

簡略記法属性

  • 標準:
    • cannotChangePassword
    • disabled
    • groups
    • homeFolder
    • passwordHasExpired
    • passwordLastChanged
    • passwordNeverExpires
    • user
    • logonScript (Windowsのみ)
    • profilePath (Windowsのみ)
    • group (Linuxのみ)
    • logonShell (Linuxのみ)
    • passwordExpiryInDays (Linuxのみ)
    • passwordMinDaysBetweenChanges (Linuxのみ)

キーの意味

キーはユーザ名です。これは階層的なEntitySetではありません。パターンはユーザ名のみに適用されます。その結果、"**"パターンは適用されません。
次の例では、ユーザの作成または削除を監視します。属性は明示的に除外されるため、グループメンバーシップは追跡されません。
<UserSet>
<Attributes/>
<include key="*" />
</UserSet>
次の例では、「jsmith」アカウントの追加および削除の監視に加え、アカウントのSTANDARD属性に対する変更の監視も行います (特定の属性リストが含まれていない場合、このEntitySetのSTANDARDセットが自動的に含められるためです)。
<UserSet>
<include key="jsmith" />
</UserSet>

サブエレメント

includeとexclude

変更監視ルールの言語を参照して、これらのエレメントに指定できる属性とサブエレメントのincludeの概要を確認してください。

UserSetのincludeおよびexcludeに固有の属性

ユーザのさまざまな属性は、インクルードおよびエクスクルード機能テストで使用される場合があります。これらのテストは、値をユーザの属性の値と比較します。さまざまな属性のプラットフォームサポートに注意してください (すべての属性がすべてのプラットフォームやプラットフォームのリビジョンで利用できるわけではないため、インクルードおよびエクスクルード要素でこれらのテストを使用することは限定的な用途にとどまります)。機能テストは、*および?を使用したUnixグロブスタイルのワイルドカードをサポートしており、パスセパレータやその他の文字の正規化は行われず、属性の値に対して単純に一致します。
  • Disabled: trueまたはfalseのどちらがユーザのdisabled属性に一致するかを示します。次の例では、ユーザまたはデーモンのいずれかのプライマリグループを持つユーザを監視します。
<UserSet>
<include disabled="true"/>
</UserSet>
  • Group: ワイルドカードがユーザのプライマリグループと一致するかどうか。このテストは、UNIXシステムにのみ適用されます。次の例では、ユーザまたはデーモンのいずれかのプライマリグループを持つユーザを監視します。
<UserSet>
<include group="users"/>
<include group="daemon"/>
</UserSet>
  • LockedOut: ユーザの lockedOut 属性に対する一致の真偽を示します。
  • PasswordHasExpired: ユーザの passwordHasExpired 属性に対して true または false が一致するかどうか。
  • PasswordNeverExpires: ユーザの passwordNeverExpires 属性との一致が true または false であるかどうか。