파일 삭제를 수행한 타임스탬프와 사용자+프로세스를 추적할 수 있나요?
이제 솔라리스 감사를 설정하고 다음 audit_control, audit_class 및 audit_event 항목을 만들었습니다.
$ grep pf /etc/security/audit_control
flags:pf,fd
$ grep pf /etc/security/audit_event
6:AUE_UNLINK:unlink(2):fd,pf
48:AUE_RMDIR:rmdir(2):fd,pf
286:AUE_UNLINKAT:unlinkat(2):fd,pf
6182:AUE_filesystem_delete:delete filesystem:as,pf
6185:AUE_network_delete:delete network attributes:as,pf
$ grep pf /etc/security/audit_class
0x10000000:pf:rems
$ grep fd /etc/security/audit_class
0x00000020:fd:file delete
대부분의 파일 삭제를 성공적으로 감사하고 기록할 수 있는 것으로 보이지만 캡처하지 못한 일부 파일 삭제가 있습니다. 구체적인 예는 우리가 사용하고 있는 Lavastorm 앱에서 수행되는 삭제입니다. 그것들은 기록되지 않습니다.