auditlog

Αρχική > Εγχειρίδιο Σελίδες > auditlog

Leave a comment Go to comments 7 Ιούλη 2009 ο Chris Kranz Αφήστε ένα σχόλιο Μετάβαση σε παρατηρήσεις

Περιεχόμενα

ΟΝΟΜΑ

auditlog - περιέχει μια εγγραφή ελέγχου πρόσφατη διοικητική δραστηριότητα

ΣΥΝΟΨΗ

<logdir> / auditlog

<logdir> είναι το / etc / καταγραφής για ταξινομητές / και τα αρχεία καταγραφών για συσκευές NetCache.

Εάν η auditlog.enable επιλογή είναι ενεργοποιημένη, το σύστημα καταγράφει όλες τις εισόδου του συστήματος στην κονσόλα / κέλυφος και telnet μέσω rsh στο auditlog αρχείο. Η έξοδος δεδομένων από εντολές εκτελούνται με τον τρόπο αυτό καταγράφεται επίσης να auditlog. Οι διοικητικές επικλήσεις servlet (μέσω HTTP, συνήθως από FilerView) και API κλήσεις που γίνονται μέσω της διεπαφής ONTAPI καταγράφεται επίσης στην auditlog. Ένα τυπικό μήνυμα είναι:

Τετ 9 του Φλεβάρη 17:34:09 GMT [rshd_0: auditlog]: ρίζα: OUT: Ημερομηνία: Τετ 9η Φεβρουαρίου 2000 17:34:09 GMT

Αυτό δείχνει ότι υπήρχε ένα rsh συνόδου γύρω Τετ 9 Φεβ 17:34:09 GMT που προκάλεσε η εντολή ημερομηνία που θα εκτελεστεί. Ο χρήστης που εκτελεί την εντολή ήταν η ρίζα. Ο τύπος της καταγραφής είναι τα δεδομένα εξόδου από το σύστημα, όπως υποδεικνύεται από το OUT λέξη-κλειδί.

Οι εντολές πληκτρολογούνται στην κονσόλα του ταξινομητής ή εκτελούνται από το rsh που ορίζεται από το IN-κλειδί, όπως σε:

Τετ 9ης Φεβρουαρίου 17:34:03 GMT [rshd_0: auditlog] :: ΣΕ: rsh κέλυφος: RSH εντολή εισόδου είναι η ημερομηνία

Η έναρξη και το τέλος μιας συνόδου rsh ειδικά οριοθετούνται ως το

Τετ 9ης Φεβρουαρίου 17:34:09 GMT [rshd_0: auditlog]: ρίζα: START: rsh κέλυφος: orbit.eng.mycompany.com

και

Τετ 9ης Φεβρουαρίου 17:34:09 GMT [rshd_0: auditlog]: ρίζα: ΤΕΛΟΣ: rsh κέλυφος:

Το μέγιστο μέγεθος του αρχείου auditlog ελέγχεται από το auditlog.max_file_size επιλογή. Αν το αρχείο παίρνει σε αυτό το μέγεθος, αυτό περιστρέφεται (βλ. παρακάτω).

Κάθε Σάββατο στις 24:00, <logdir> / auditlog μεταφέρεται στο <logdir> / auditlog.0, <logdir> / auditlog.0 μεταφέρεται στο <logdir> / auditlog.1, και ούτω καθεξής. Αυτή η διαδικασία ονομάζεται περιστροφή. Τα αρχεία αποθηκεύονται Auditlog για ένα σύνολο έξι εβδομάδων, αν δεν το κάνουν υπερχείλιση.

Αν θέλετε να προωθήσετε τα μηνύματα καταγραφής ελέγχου σε έναν απομακρυσμένο κεντρικό αρχείο καταγραφής syslog (ένα που δέχεται μηνύματα syslog μέσω του BSD πρωτοκόλλου Syslog καθορίζεται στο RFC 3164), να τροποποιήσει το / etc του ταξινομητής του / syslog.conf αρχείο για να διαβιβάσει τα μηνύματα από το filer του "local7" εγκατάσταση στον απομακρυσμένο υπολογιστή. Κάνετε αυτό με την προσθήκη μιας γραμμής, όπως:

local7. *: @ 1.2.3.4

στο / etc / syslog.conf. Η διεύθυνση IP έχει χρησιμοποιηθεί εδώ, αλλά ένα έγκυρο όνομα DNS θα μπορούσε επίσης να χρησιμοποιηθεί. Σημειώστε ότι χρησιμοποιώντας ένα όνομα DNS μπορεί να αποτύχει εάν ο ταξινομητής δεν είναι σε θέση να επιλύσει το όνομα που δόθηκε στο αρχείο. Αν συμβεί αυτό, τα μηνύματά σας δεν θα διαβιβάζονται.

Στο ημερολόγιο υποδοχής, θα πρέπει να τροποποιήσετε το αρχείο ρυθμίσεων του δαίμονα syslog να διαθέσει το syslog κυκλοφορίας μήνυμα από την "local7" εγκατάσταση στο κατάλληλο αρχείο ρυθμίσεων. Που συνήθως γίνεται με την προσθήκη μια γραμμή παρόμοια με αυτήν που φαίνεται παραπάνω για το filer:

local7. *: / Var / logs / filer_auditlogs

Στη συνέχεια, επανεκκινήστε τον δαίμονα στο αρχείο καταγραφής υποδοχής, ή να στείλετε ένα κατάλληλο σήμα σε αυτό. Ανατρέξτε στην τεκμηρίωση του syslog δαίμονας υποδοχής ημερολόγιο σας για περισσότερες πληροφορίες σχετικά με το πώς να κάνετε αυτή την αλλαγή ρυθμίσεων.