auditlog

Home > Manuálové stránky > auditlog

07.07.2009

Přejít komentáře Zanechte komentář

Obsah

NAME

auditlog - obsahuje záznamy o auditu nedávnou správní činnosti

SYNTAXE

<logdir> / auditlog

<logdir> je / etc / log pro filers a / logs pro NetCache spotřebičů.

Je-li volba je na auditlog.enable, systém zaznamenává všechny vstup do systému na konzole / telnet shell a přes rsh na auditlog souboru. Výstup dat příkazy provedené v tomto duchu je také zaznamenána na auditlog. Správní servletu invokace odst. přes HTTP, obvykle od FilerView) a API uskutečněné hovory přes ONTAPI rozhraní jsou také zaznamenány do auditlog. Typická zpráva:

Středa 9.února 17:34:09 GMT [rshd_0: auditlog]: root: OUT: Datum: pon 9.února 17:34:09 GMT 2000

To znamená, že to tam bylo rsh relace kolem Sob 9 17:34:09 GMT který způsobil datum příkaz proveden. Uživatel, který provádí příkaz byl root. Typ protokolu je výstup dat v systému, jak je uvedeno v OUT klíčového slova.

Příkazy psané u filtračním konzole nebo popraven rsh jmenuje IN klíčové slovo v:

Středa 9.února 17:34:03 GMT [rshd_0: auditlog] :: V: shell rsh: RSH INPUT COMMAND je datum

Začátek a konec na rsh zasedání jsou speciálně vymezena jako v

Středa 9.února 17:34:09 GMT [rshd_0: auditlog]: root: START: shell rsh: orbit.eng.mycompany.com

Středa 9.února 17:34:09 GMT [rshd_0: auditlog]: root: END: shell rsh:

Maximální velikost souboru auditlog je řízen auditlog.max_file_size volby. Pokud je soubor se dostane do této velikosti, je otáčet (viz níže).

Každou sobotu ve 24:00, je <logdir> / auditlog se stěhoval do <logdir> / auditlog.0 je <logdir> / auditlog.0 se stěhoval do <logdir> / auditlog.1, a tak dále. Tento proces se nazývá rotace. Auditlog soubory jsou uloženy v celkové výši šest týdnů, pokud tomu tak není přetečení.

Chcete-li předávání zpráv protokolu auditování ke vzdálenému hostiteli syslog log (ten, který přijímá zprávy syslog přes BSD Syslog protokolu popsané v RFC 3164), modifikovat Filer z / etc / syslog.conf souboru, aby předal zprávy z filtračním je "local7" zařízení na vzdálený počítač. To provedete přidáním řádku jako:

local7. *: @ 1.2.3.4

do / etc / syslog.conf. IP adresa byla zde použita, ale platné DNS jméno může být rovněž použit. Všimněte si, že pomocí názvu DNS může selhat, pokud filtr se není schopen přeložit název uveden v souboru. Pokud se tak stane, bude vaše zprávy nelze postoupit.

Na protokolu hostitele, budete muset upravit na Syslog daemon konfigurační soubor pro přesměrování syslog zprávy z provozu "local7" zařízení do příslušného konfiguračního souboru. To se obvykle provádí přidáním řádku podobně jako výše uvedenou na Filer:

local7. *: / Var / logs / filer_auditlogs

Restartujte démona na protokolu hostitele, nebo pošlete příslušný signál k tomu. Naleznete v dokumentaci k vaší log hostitele syslog daemon pro více informací o tom, jak tuto změnu konfigurace.