O carimbo de data/hora e o processo do usuário que executou a exclusão do arquivo podem ser rastreados?
Agora configurei a auditoria do Solaris e fiz as seguintes entradas audit_control, audit_class e audit_event:
$ grep pf /etc/security/audit_control
flags:pf,fd
$ grep pf /etc/security/audit_event
6:AUE_UNLINK:unlink(2):fd,pf
48:AUE_RMDIR:rmdir(2):fd,pf
286:AUE_UNLINKAT:unlinkat(2):fd,pf
6182:AUE_filesystem_delete:delete filesystem:as,pf
6185:AUE_network_delete:delete network attributes:as,pf
$ grep pf /etc/security/audit_class
0x10000000:pf:rems
$ grep fd /etc/security/audit_class
0x00000020:fd:file delete
Parece ser capaz de auditar e registrar com êxito a maioria das exclusões de arquivos, mas há algumas exclusões de arquivos que ele não consegue capturar. Um exemplo específico são as exclusões realizadas em um aplicativo Lavastorm que estamos usando. Esses não estão registrados.