Windows 中相当于 Unix/Linux 中“审核日志已清除”事件的是什么?

Windows 中相当于 Unix/Linux 中“审核日志已清除”事件的是什么?

Windows 有EventID 1102“审核日志已清除”。 Unix/Linux 中等效的审计事件是什么?

如果有人有示例事件,并且知道需要配置哪些审核策略才能获取此事件,也请发布该事件。

答案1

没有:审核日志是一个可以删除的文本文件。但是,如果将auditd配置为从初始启动时运行,则auditd无法停止,并且将继续写入其打开的文件描述符。如果将auditd配置为监视其输出日志,那么这将记录删除(尽管您必须恢复文件才能查看信息)。

通常(在最终用户系统上),auditd 配置为记录“安全事件”(登录/注销),但可以被告知监视文件的更改。没有什么具体的 (例如) /var/log/audit/auditd.log,但您可以建立一个手表如手册页中所述。

进一步阅读:

相关内容