auditlog

Strona główna > Strony Ręczne > auditlog

07 lipca 2009

Idź do komentarzy Zostaw komentarz

Spis treści

NAZWA

auditlog - zawiera rekord audytu niedawnej działalności administracyjnej

SKŁADNIA

<logdir> / auditlog

<logdir> jest / etc / log dla Filers i / rejestry operacji dla NetCache urządzeń.

Jeśli auditlog.enable opcja jest włączona, system rejestruje wszystkie dane wejściowe do systemu na konsoli / telnet powłoki i przez rsh do auditlog pliku. Dane wyjściowe za pomocą poleceń wykonywanych w ten sposób jest również rejestrowany na auditlog. Administracyjne wywołania servletu ust poprzez HTTP, zazwyczaj z FilerView) oraz API wykonane przez ONTAPI interfejsu są również rejestrowane w auditlog. Typowy komunikat brzmi:

Sro 09 lutego 17:34:09 GMT [rshd_0: auditlog]: root: OUT: Data: Wto 09 lutego 17:34:09 GMT 2000

Oznacza to, że nie było rsh sesji wokół Śro Lut 9 17:34:09 GMT który spowodował polecenia date do wykonania. Użytkownik wykonujący polecenia była głównym. Rodzaj dziennika jest wyjście danych przez system wskazany przez OUT kluczowych.

Polecenia wpisywane w filtrze konsoli lub wykonywane przez rsh są wyznaczone przez IN kluczowych np.:

Sro 09 lutego 17:34:03 GMT [rshd_0: auditlog] :: IN: rsh wierzch: komendy wprowadzania RSH jest data

Początek i koniec w rsh sesji są specjalnie ogrodzone jak w

Sro 09 lutego 17:34:09 GMT [rshd_0: auditlog]: root: START: rsh wierzch: orbit.eng.mycompany.com

Sro 09 lutego 17:34:09 GMT [rshd_0: auditlog]: root: END: rsh wierzch:

Maksymalny rozmiar pliku auditlog jest kontrolowany przez auditlog.max_file_size opcji. Jeśli plik dostaje się do tej wielkości, jest obracany (patrz poniżej).

W każdą sobotę o 24:00, <logdir> / auditlog zostanie przeniesiona do <logdir> / auditlog.0, <logdir> / auditlog.0 zostanie przeniesiona do <logdir> / auditlog.1, i tak dalej. Proces ten nazywany jest obrót. Pliki Auditlog są zapisywane w sumie sześć tygodni, jeśli nie przepełnienie.

Jeśli chcesz przekazać wiadomości dziennika inspekcji ze zdalnym hostem dziennika syslog (jeden, który akceptuje komunikaty syslog poprzez protokół Syslog BSD określonej w dokumencie RFC 3164), modyfikować filtr antyspamowy w / etc / syslog.conf do przekazania wiadomości z filtrze jest "local7" Obiekt do zdalnego hosta. To zrobić, dodając linię:

local7 *.: @ 1.2.3.4

do / etc / syslog.conf. Adres IP został wykorzystany tutaj, ale prawidłowa nazwa DNS może być również używany. Należy pamiętać, że przy użyciu nazwy DNS może nie powieść, jeśli Filer jest w stanie rozwiązać nazwy podanej w pliku. Jeśli tak się stanie, wiadomości nie będą przekazywane.

Na hoście dziennika, musisz zmodyfikować demona syslog pliku konfiguracyjnego do przekierowania ruchu komunikatami sysloga z "local7" obiektu do odpowiedniego pliku konfiguracyjnego. To jest zazwyczaj przez dodanie linię podobną do tej pokazanej powyżej na filtrze:

local7 *.: / Var / logs / filer_auditlogs

Następnie uruchom ponownie demona na hoście dziennika lub wysłać odpowiedni sygnał do niego. Zapoznaj się z dokumentacją dla naszego hosta dziennika, demona syslog, aby uzyskać więcej informacji na temat dokonać tej zmiany konfiguracji.