Auditlog

Arkivi

Posts Tagged 'auditlog'

EMRI

auditlog - përmban një rekord të auditimit të veprimtarisë administrative të kohëve të fundit

PËRMBLEDHJE

<logdir> / auditlog

<logdir> është / etc / log për filers dhe / shkrimet për pajisje NetCache.

Nëse auditlog.enable opsion është aktiv, sistemi shkrimet e të gjitha të dhëna për sistemin në tastierë / Telnet shell dhe me anë të RSH në dosjen auditlog. Prodhimit të dhënave nga komandat e ekzekutuara në këtë mënyrë është futur edhe në auditlog. Lutjet Administrative Servlet (nëpërmjet HTTP, zakonisht nga FilerView) dhe API thirrjet e bëra nëpërmjet ndërfaqes ONTAPI jeni regjistruar edhe në auditlog. Një mesazh tipik është:

Wed 9 Shk 17:34:09 GMT [rshd_0: auditlog]: root: OUT: Data: Wed 9 Shk 2000 17:34:09 GMT

Kjo tregon se ka pasur një sesion RSH rreth Mon Feb 9 17:34:09 GMT cili shkaktoi komanda data për t'u ekzekutuar. Përdorues kryerjen e komandës ishte rrënjë. Lloji i log të dhëna të prodhimit nga ana e sistemit, siç tregohet nga fjalen OUT.

Komandat shtypur në tastierë e Filer ose ekzekutohet nga RSH janë të caktuar nga fjalen NE, si në:

Wed 9 Shk 17:34:03 GMT [rshd_0: auditlog] :: NE: RSH shell: KOMANDA RSH INPUT është data

Fillimi dhe fundi i një sesion të RSH janë shënuar posaçërisht në

Wed 9 Shk 17:34:09 GMT [rshd_0: auditlog]: root: START: shell RSH: orbit.eng.mycompany.com

dhe

Wed 9 Shk 17:34:09 GMT [rshd_0: auditlog]: root: END: RSH shell:

Madhësia maksimale e file auditlog kontrollohet nga opsionin auditlog.max_file_size. Në qoftë se skeda merr për këtë madhësi, ajo është ndërruar (shih më poshtë).

Çdo të shtunë në 24:00, <logdir> / auditlog është zhvendosur në <logdir> / auditlog.0, <logdir> / auditlog.0 është zhvendosur në <logdir> / auditlog.1, dhe kështu me radhë. Ky proces quhet rrotullimi. Auditlog fotografi janë ruajtur për një total prej gjashtë javësh, në qoftë se ata nuk e bëjnë del nga shtrati.

Nëse ju doni të përcjellë mesazhe log auditimit për një host të largët log syslog (ai që pranon mesazhe syslog nëpërmjet protokollit të syslog BSD specifikuar në RFC 3164), etj modifikoni / e Filer i / syslog.conf file për të përcjellë mesazhe nga "local7" e Filer së objektit tek host në distancë. A këtë duke shtuar një linjë si:

local7. *: @ 1.2.3.4

tek / etc / syslog.conf. Një adresë IP është përdorur këtu, por një emër DNS vlefshme gjithashtu mund të përdoret. Vini re se duke përdorur një emër DNS mund të dështojë nëse filer është në gjendje të zgjidhë emrin e dhënë në dosjen. Nëse kjo ndodh, mesazhet tuaja nuk do të përcillet.

Në të presë log, ju do të duhet të modifikojë fotografi demonin syslog e konfigurimit të përcjellim mesazhin trafikut syslog nga "local7" objektit në skedarin e duhur konfigurimit. Kjo është bërë zakonisht duke shtuar një linjë të ngjashme me atë të treguar më lart për Filer:

local7. *: / Var / shkrimet / filer_auditlogs

Mandej rinisni demonin në host log, ose dërgoni një sinjal të përshtatshme për të. Shikoni dokumentacionin për demon host tuaj log të syslog për më shumë informacion se si për ta bërë këtë ndryshim të konfigurimit.