可以跟踪执行文件删除的时间戳和用户+进程吗?
我现在已经设置了 solaris 审计,并进行了以下 audit_control、audit_class 和 audit_event 条目:
$ grep pf /etc/security/audit_control
flags:pf,fd
$ grep pf /etc/security/audit_event
6:AUE_UNLINK:unlink(2):fd,pf
48:AUE_RMDIR:rmdir(2):fd,pf
286:AUE_UNLINKAT:unlinkat(2):fd,pf
6182:AUE_filesystem_delete:delete filesystem:as,pf
6185:AUE_network_delete:delete network attributes:as,pf
$ grep pf /etc/security/audit_class
0x10000000:pf:rems
$ grep fd /etc/security/audit_class
0x00000020:fd:file delete
它似乎能够成功审核和记录大多数文件删除,但有些文件删除无法捕获。一个具体的例子是从我们正在使用的 Lavastorm 应用程序执行的删除。这些没有被记录。