ファイルの削除を実行したタイムスタンプとユーザー+プロセスを追跡できますか?
私は現在、Solaris 監査を設定し、次のaudit_control、audit_class、audit_event エントリを作成しました。
$ grep pf /etc/security/audit_control
flags:pf,fd
$ grep pf /etc/security/audit_event
6:AUE_UNLINK:unlink(2):fd,pf
48:AUE_RMDIR:rmdir(2):fd,pf
286:AUE_UNLINKAT:unlinkat(2):fd,pf
6182:AUE_filesystem_delete:delete filesystem:as,pf
6185:AUE_network_delete:delete network attributes:as,pf
$ grep pf /etc/security/audit_class
0x10000000:pf:rems
$ grep fd /etc/security/audit_class
0x00000020:fd:file delete
ほとんどのファイル削除は正常に監査およびログに記録できるようですが、キャプチャできないファイル削除もいくつかあります。具体的な例としては、使用している Lavastorm アプリから実行された削除が挙げられます。これらはログに記録されません。