Можно ли отследить временную метку, а также пользователя и процесс, выполнившие удаление файла?
Теперь я настроил аудит Solaris и сделал следующие записи audit_control, audit_class и audit_event:
$ grep pf /etc/security/audit_control
flags:pf,fd
$ grep pf /etc/security/audit_event
6:AUE_UNLINK:unlink(2):fd,pf
48:AUE_RMDIR:rmdir(2):fd,pf
286:AUE_UNLINKAT:unlinkat(2):fd,pf
6182:AUE_filesystem_delete:delete filesystem:as,pf
6185:AUE_network_delete:delete network attributes:as,pf
$ grep pf /etc/security/audit_class
0x10000000:pf:rems
$ grep fd /etc/security/audit_class
0x00000020:fd:file delete
Кажется, он может успешно проводить аудит и регистрировать большинство удалений файлов, но есть некоторые удаления файлов, которые он не может зафиксировать. Конкретный пример — удаления, выполненные из приложения Lavastorm, которое мы используем. Они не регистрируются.