¿Se puede rastrear la marca de tiempo y el proceso del usuario que realizó la eliminación del archivo?
Ahora configuré la auditoría de Solaris y realicé las siguientes entradas audit_control, audit_class y audit_event:
$ grep pf /etc/security/audit_control
flags:pf,fd
$ grep pf /etc/security/audit_event
6:AUE_UNLINK:unlink(2):fd,pf
48:AUE_RMDIR:rmdir(2):fd,pf
286:AUE_UNLINKAT:unlinkat(2):fd,pf
6182:AUE_filesystem_delete:delete filesystem:as,pf
6185:AUE_network_delete:delete network attributes:as,pf
$ grep pf /etc/security/audit_class
0x10000000:pf:rems
$ grep fd /etc/security/audit_class
0x00000020:fd:file delete
Parece poder auditar y registrar con éxito la mayoría de las eliminaciones de archivos, pero hay algunas eliminaciones de archivos que no logra capturar. Un ejemplo específico son las eliminaciones realizadas desde una aplicación Lavastorm que estamos usando. Esos no están registrados.