名为 11203 的某个目录的权限被更改了两次,因此托管应用程序遇到了一些问题。
当我使用命令时:
ausearch -i |grep chmod |grep 11203
我得到以下结果
type=USER_CMD msg=audit(12/16/2014 17:15:36.201:68342) : user pid=19247 uid=enginst auid=enginst ses=4229 msg='cwd=/apps/oradump/ora_temp_rdbms/OH3 cmd=chmod -R 777 11203 terminal=pts/2 res=success'
type=USER_CMD msg=audit(12/16/2014 17:36:33.968:68753) : user pid=1801 uid=enginst auid=enginst ses=4229 msg='cwd=/apps/oracle/RDBMS cmd=chmod -R 777 11203 terminal=pts/2 res=success'
虽然我可以理解上面的输出中的一些内容,但我仍然有几个问题。
上面是否说命令 chmod 已由用户 enginst 作为终端中的直接命令运行,或者它是否可以由某个进程启动,而该进程又由 enginst 用户启动?
结果中的两个 pid 在“ps aux”输出中都找不到。这些 pid 是命令“chmod”的 pid 吗?
可以采取哪些措施来启用更多日志记录,以便解决这个问题。
我已经启动了psacct进程,假设它会记录pid引用的进程等等。
从另一个链接发现,即使该过程已经完成并且不在“ps aux”输出中,以下命令也会为我们提供有关 pid 的信息。
dump-acct /var/account/pacct | awk -F '|' '$10 ~ / 31652 / {print}'
但情况似乎并非如此,因为即使在给出有效的 pid(已完成的进程的 pid)之后,我也没有得到上述命令的任何结果
有人可以澄清一下吗?谢谢。