审计日志
名称
审计日志 - 包含最近的行政活动的审计记录内容简介
<logdir> /审计日志<logdir>是的/ etc /文件管理器和/ NetCache设备的日志记录。
说明
如果选项auditlog.enable,系统日志中的所有输入到系统控制台/远程登录shell和审计日志文件通过rsh 。 通过这种方式执行的命令的输出数据也记录到审计日志。 行政servlet的调用(通过HTTP通常从FilerView,)和API调用通过ONTAPI接口也记录到审计日志。 一个典型的消息是:周三2月9日17时34分09秒格林尼治标准时间[rshd_0:审计日志]:根:OUT:日期:周三2月9日17时34分09秒格林尼治标准时间 2000年
这表明,有一个围绕周三2月9日17时34分09秒格林尼治标准时间RSH的会议 date命令执行。 执行命令的用户是根。 日志的类型是out关键字表示系统输出的数据。
正如在关键字指定类型的文件管理器的控制台或RSH执行的命令是:
周三2月9 17时34分03秒GMT [rshd_0:审计日志]::在:RSH外壳:RSH INPUT命令的日期
RSH会议的开始和结束都在专门划定
周三2月9日17时34分09秒格林尼治标准时间[rshd_0:审计日志]:根:START:RSH壳:orbit.eng.mycompany.com
和
2月9日星期三17时34分09秒格林尼治标准时间[rshd_0:审计日志]:根::RSH壳月底 :
审计日志文件的最大大小是由 auditlog.max_file_size选项。 如果该文件获取到这个大小,它是旋转(见下文)。
每周星期六24:00,<logdir> /审计日志是移动<logdir> / auditlog.0,<logdir> / auditlog.0移动<logdir> / auditlog.1,等等。 这个过程被称为旋转。 审计日志文件的保存共有六个星期,如果他们不溢出。
如果你想审计日志消息转发到远程syslog日志主机(接受通过3164指定的协议的BSD系统日志syslog消息),文件管理器的修改/ etc / syslog.conf文件,从文件管理器的“local7的转发”消息设施的远程主机。 加入像这样的一行:
- 到local7 .*
- @ 1.2.3.4
在日志主机上,你需要修改syslog守护进程的配置文件重定向到syslog消息流量从“local7的”设施,以相应的配置文件。 这通常是通过添加一行类似上面的文件管理器显示一个:
- 到local7 .*
- 的/ var /日志/ filer_auditlogs
档案
- <logdir> /审计日志
- 当前周的审计日志文件。<logdir> /审计日志。[0-5]审计日志文件的前几个星期
SEE ALSO
选项,syslog.conf文件版权所有© 1994-2008公司NetApp的法律信息
手册页 ONTAP
