Können der Zeitstempel und der Benutzer+Prozess, die die Datei gelöscht haben, nachverfolgt werden?
Ich habe jetzt die Solaris-Überwachung eingerichtet und die folgenden Einträge für audit_control, audit_class und audit_event vorgenommen:
$ grep pf /etc/security/audit_control
flags:pf,fd
$ grep pf /etc/security/audit_event
6:AUE_UNLINK:unlink(2):fd,pf
48:AUE_RMDIR:rmdir(2):fd,pf
286:AUE_UNLINKAT:unlinkat(2):fd,pf
6182:AUE_filesystem_delete:delete filesystem:as,pf
6185:AUE_network_delete:delete network attributes:as,pf
$ grep pf /etc/security/audit_class
0x10000000:pf:rems
$ grep fd /etc/security/audit_class
0x00000020:fd:file delete
Es scheint in der Lage zu sein, die meisten Dateilöschvorgänge erfolgreich zu prüfen und zu protokollieren, aber es gibt einige Dateilöschvorgänge, die nicht erfasst werden. Ein konkretes Beispiel sind Löschungen, die von einer von uns verwendeten Lavastorm-App durchgeführt werden. Diese werden nicht protokolliert.