是否可以追蹤執行檔刪除的時間戳記和用戶+進程?
我現在已經設定了Solaris審計並建立了以下audit_control、audit_class和audit_event條目:
$ grep pf /etc/security/audit_control
flags:pf,fd
$ grep pf /etc/security/audit_event
6:AUE_UNLINK:unlink(2):fd,pf
48:AUE_RMDIR:rmdir(2):fd,pf
286:AUE_UNLINKAT:unlinkat(2):fd,pf
6182:AUE_filesystem_delete:delete filesystem:as,pf
6185:AUE_network_delete:delete network attributes:as,pf
$ grep pf /etc/security/audit_class
0x10000000:pf:rems
$ grep fd /etc/security/audit_class
0x00000020:fd:file delete
它似乎能夠成功審核和記錄大多數文件刪除,但有一些文件刪除無法捕獲。一個具體的範例是從我們正在使用的 Lavastorm 應用程式執行的刪除。這些沒有記錄。