Auditlog

Главная > Страницы Руководство > Auditlog

7 июля 2009

К комментариям Оставить комментарий

Оглавление

НАЗВАНИЕ

Auditlog - содержит записи аудита последних управленческой деятельности

СИНТАКСИС

<logdir> / Auditlog

<logdir> является / и т.д. / вход для регистраторов и / журналы для NetCache техники.

Если опция auditlog.enable включен, система регистрирует все вход системы в консоли / Telnet оболочки и через RSH к Auditlog файл. Выход данных по команд, выполненных в этой моде также регистрируется в Auditlog. Административные вызовов сервлета (через HTTP, как правило, от FilerView) и API звонки через интерфейс ONTAPI также регистрируются в Auditlog. Типичные сообщение:

Ср 9 февраля 17:34:09 GMT [rshd_0: Auditlog]: корень: OUT: Дата: Пн 9 февраля 17:34:09 GMT 2000

Это указывает на то, что было RSH сессии вокруг Ср 9 февраля 17:34:09 GMT что вызвало даты команду, которая будет выполнена. Пользователь, выполняющий команду был корень. Тип журнала вывода данных в системе, как указано ключевое слово OUT.

Команды набрали на консоли фильтром или выполненных RSH обозначены В ключевых слов как в:

Ср 9 февраля 17:34:03 GMT [rshd_0: Auditlog]:: В: RSH оболочки: RSH ввода команд является дата

Начало и конец сессии RSH специально разграничены, как в

Ср 9 февраля 17:34:09 GMT [rshd_0: Auditlog]: корень: START: RSH оболочки: orbit.eng.mycompany.com

Ср 9 февраля 17:34:09 GMT [rshd_0: Auditlog]: корень: END: RSH оболочки:

Максимальный размер файла Auditlog контролируется auditlog.max_file_size вариант. Если файл запускается на этот размер, он поворачивается (см. ниже).

Каждую субботу в 24:00, <logdir> / Auditlog перемещается в <logdir> / auditlog.0, <logdir> / auditlog.0 перемещается в <logdir> / auditlog.1, и так далее. Этот процесс называется вращение. Auditlog файлы сохраняются в общей сложности на шесть недель, если они не переполнения.

Если вы хотите пересылать сообщения журнала аудита на удаленном хосте журнала системных журналов (тот, который принимает системный журнал сообщений через протокол BSD Syslog, указанной в RFC 3164), изменить / фильтром в т.д. / syslog.conf для пересылки сообщений с фильтром в "local7" средство для удаленного хоста. Для этого добавьте строку:

local7 .*: @ 1.2.3.4

к / и т.д. / syslog.conf. IP-адрес был использован здесь, но допустимое имя DNS также может быть использован. Заметим, что использование имен DNS может потерпеть неудачу, если фильтром не может разрешить имя, данное в файле. Если это произойдет, ваши сообщения не будут отправлены.

В журнале хозяин, вам необходимо изменить конфигурационный файл системного журнала демона для перенаправления трафика журнал сообщение от "local7" объекта к соответствующему файлу конфигурации. Это обычно делается путем добавления строки, похожие на это показано выше, для фильтром:

local7 .*: / VAR / Журналы / filer_auditlogs

Затем перезагрузите демон на журнал хозяин, или послать соответствующий сигнал к нему. Обратитесь к документации для журнала демон ваш журнал хозяина для получения дополнительной информации о том, как сделать, что изменение конфигурации.