auditlog

Hem > Manualsidor > auditlog

Juli 7, 2009

Goto kommentarer Lämna en kommentar

Innehållsförteckning

NAMN

auditlog - innehåller en granskning register över senaste administrativ verksamhet

SYNOPSIS

<logdir> / auditlog

<logdir> är / etc / logg för filers och / logs för NetCache apparater.

Om alternativet auditlog.enable är på loggar systemet alla input till systemet på konsolen / telnet skalet och via rsh till auditlog filen. Uppgifterna matas ut av kommandon som utförs på detta sätt också loggas auditlog. Administrativa servlets anrop (via HTTP, vanligtvis från FilerView) och API-anrop görs via ONTAPI gränssnittet är också loggas i auditlog. Ett typiskt meddelande är:

Ons 9 februari 17:34:09 GMT [rshd_0: auditlog]: root: OUT: Datum: Wed 9 februari 17:34:09 GMT 2000

Detta indikerar att det fanns en rsh sessionen runt on 9 februari 17:34:09 GMT som orsakade dag kommando som skall exekveras. Användaren utför kommandot var roten. Den typ av log är data som matas ut av systemet som indikeras av UT nyckelord.

Kommandon skrivs på Filer konsol eller avrättas genom att rsh betecknas med IN sökord som i:

Ons 9 februari 17:34:03 GMT [rshd_0: auditlog] :: IN: rsh shell: RSH INPUT-kommando är datum

Början och slutet av en session rsh är speciellt avgränsas såsom i

Ons 9 februari 17:34:09 GMT [rshd_0: auditlog]: root: START: rsh skal: orbit.eng.mycompany.com

och

Ons 9 februari 17:34:09 GMT [rshd_0: auditlog]: root: END: rsh skal:

Den maximala storleken på filen auditlog styrs av auditlog.max_file_size alternativ. Om filen kommer till denna storlek är det roteras (se nedan).

Varje lördag kl 24:00 är <logdir> / auditlog flyttade till <logdir> / auditlog.0 är <logdir> / auditlog.0 flyttade till <logdir> / auditlog.1, och så vidare. Denna process kallas rotation. Auditlog sparas för sammanlagt sex veckor, om de inte svämma över.

Om du vill vidarebefordra meddelanden loggar till en avlägsen syslog log värd (en som tar emot syslog-meddelanden via BSD syslog-protokollet som anges i RFC 3164), ändra Filer s / etc / syslog.conf filen att vidarebefordra meddelanden från Uppgiftslämnaren s "local7" möjlighet att fjärrvärden. Gör detta genom att lägga till en rad som denna:

local7. *: @ 1.2.3.4

till / etc / syslog.conf. En IP-adress har använts här, men ett giltigt DNS-namn kan också användas. Observera att med hjälp av en DNS-namn kan misslyckas om Uppgiftslämnaren inte kan lösa det namn som ges i filen. Om det händer kommer dina meddelanden inte vidarebefordras.

På stocken värd måste du ändra syslog-demonen: s konfigurationsfil för att omdirigera trafik syslog-meddelande från "local7" anläggning till lämplig konfigurationsfilen. Som typiskt görs genom att lägga en rad som liknar den som visas ovan för arkiveringsgränssnitt:

local7. *: / Var / logs / filer_auditlogs

Starta sedan om demonen på stocken värd, eller skicka en lämplig signal till den. Se dokumentationen för din logg värdens syslog-demon för mer information om hur man gör denna konfiguration förändring.