Windows版 ユーザトレースのプロセス引数情報の取得方法の設定について

Document created by Tomo_Fujita Employee on Mar 12, 2015
Version 1Show Document
  • View in full screen mode

文書番号: JTEC000139

 

製品名:Privileged Identity Manager

 

バージョン:All

 

OS:Windows

 

◆ 内容

CA ControlMinder Windows版 12.5 SP5 以降では、ユーザトレースにおける新規プロセス実行時の引数情報の取得方法を変更することができます。

 

◆ 詳細内容

CA ControlMinderは、新規プロセスを開始したユーザがトレース対象となっている場合に、新規プロセスの引数情報を取得して、

ユーザトレースのEXECARGSとして記録します。

しかし、新規プロセスが非常に短時間で終了するような場合、プロセスの引数情報を取得して記録する前にプロセスが

終了する場合があります。このような場合では、引数情報が正しく取得できず、ユーザトレースのEXECARGSには

以下のメッセージが表示される場合があります。

EXECARGS: 利用可能なものはありません。 (87)

上記のような場合には、以下のレジストリ設定にて引数情報の取得方法を変更することで対応することが可能です。

HKEY_LOCAL_MACHINE¥SOFTWARE¥ComputerAssociates¥AccessControl
¥SeOSD¥ProcessCreationNotificationMode


  0 : カーネルモジュールで情報を取得します (デフォルト)
  1 : ユーザ(インストルメンテーション)モジュールで情報を取得します

上記設定を1に変更することで、cainstrmを使用してユーザモジュールでプロセスの情報を取得するようになり、

デフォルト設定では引数情報取得ができないような上述のような場合でも、引数情報を取得することが可能となります。

ユーザモジュールを使用する場合、Windows APIを利用して情報を取得するため、新規プロセスがWindows APIを

使用しない場合には情報を取得することができません。また、若干のパフォーマンスへの影響が想定されます。

製品としてはデフォルトでの利用を推奨しています。

 

Attachments

    Outcomes