参考指南 › 审核日志记录 › 审核事件类型 › 有关用户的跟踪消息

有关用户的跟踪消息

有关用户事件的跟踪消息描述了打开、运行或使用受保护资源的尝试。

在 Windows 上，此事件中的审核记录格式如下：

日期 时间 状态 事件 用户名 会话 ID 真实用户 ID 真实用户名 类 资源 详细信息 跟踪 审核标志

在 UNIX 上，此事件中的审核记录格式如下：

日期 时间 状态 事件 用户名 会话 ID 真实用户名 有效用户名 类 资源 详细信息 跟踪 审核标志

日期

指明事件发生的日期。

格式：DD MMM YYYY

注意：CA Access Control 端点管理 根据您计算机的设置对日期的显示进行格式化。

时间

指明事件发生的时间。

格式：HH:MM:SS

注意：CA Access Control 端点管理 根据您计算机的设置对时间的显示进行格式化。

状态

表明事件的返回代码。

值：可以为以下值之一：

• D（已拒绝）- 由于授权不足而拒绝事件。
• P（已允许）- 允许事件。
• W（警告）- 允许事件，原因是虽然访问请求违反了访问规则，但是设置了警告模式。

注意：在详细的 seaudit 输出中，此字段会显示跟踪信息。

事件类型

指明此记录所属的事件类型。

注意：CA Access Control 端点管理 只是简单地将此字段作为事件进行参阅。

用户名

指明执行触发此事件的操作的访问者名称。

用户登录会话 ID

指明访问者的会话 ID。

真实用户 ID

指明调用进程的用户的用户 ID。

注意：(UNIX) 在非详细 seaudit 输出中不显示此字段。

真实用户名

指明执行跟踪操作的用户的名称。

有效用户 ID

（仅限 UNIX）表明本地操作系统有效用户的 ID。

注意：在非详细 seaudit 输出中不显示此字段。

有效的用户名

（仅 UNIX）识别触发该事件的本机操作系统有效用户的名称。 如果用户替换（替代）为不同的用户或运行 setuid 程序，则不同于用户名。

注意：在 KBL 审核输出中不显示此字段。

类

指明被访问的资源所属的类。

资源

指明正在被访问或更新的实际资源的名称。

详细信息

表明 CA Access Control 决定在哪个阶段为此事件执行何种操作。

注意：无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。 此数字称为授权阶段代码。 在详细的输出或 CA Access Control 端点管理 中，审核记录将显示与授权阶段代码相关的消息。 要获得阶段代码的完整列表，请运行 seaudit -t。

跟踪信息

显示跟踪详细信息，包括类、资源以及在该资源上执行的操作或该操作的结果。

审核标志

表明访问者是内部用户（CA Access Control 数据库用户）还是企业用户。

注意：如果访问者是企业用户，则无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示字符串“(OS user)”。 否则，此字段保留为空。

示例：UNIX 上有关用户事件消息的跟踪消息

以下审核记录取自详细的 seaudit 输出。

03 Nov 2008 10:38:47 P TRACE        root         490daddd:00000140 john         root         FILE         /home/jon/file.txt   55  FILE    > Result: 'P' [stage=55 gstag=55 ACEEH=8   rv=0(/home/john/file.txt
事件类型：有关用户的跟踪消息
日期：2008 年 11月 03 日
时间：10:38
详细信息：资源 ACL 检查
跟踪信息：FILE    > Result: 'P' [stage=55 gstag=55 ACEEH=8    rv=0(/home/john/file.txt
类：FILE
资源：/home/admin/file.txt
用户名：root
真实用户 ID：108
真实用户名：john
有效用户 ID：108
有效用户名：root
用户登录会话 ID：490daddd:00000140
审核标志：AC 数据库用户

此审核记录表明，2008 年 11 月 3 日，由于管理员尝试访问属于 FILE 类的资源而记录了跟踪消息。 根据被访问资源的 ACL 允许管理员进行访问（授权阶段代码 55－资源 ACL 检查）。

示例：Windows 上有关用户事件消息的跟踪消息

以下审核记录取自详细的 seaudit 输出。

10 Nov 2008 10:14:53 P TRACE        MACHINE\Administrator 00000000:172ef9ef MACHINE\john MACHINE\john WINSERVICE   _default     1059  WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6    rv=0x0 (WebClient)]                         Why?  默认记录通用访问检查
事件类型：有关用户的跟踪消息
日期：2008 年 11月 10 日
时间：10:14
详细信息：默认记录通用访问权限检查
跟踪信息：WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6    rv=0x0 (WebClient)]                        Why?  默认记录通用访问检查
类：WINSERVICE
资源：_default
用户名：MACHINE\Administrator
真实用户名：MACHINE\john
用户登录会话 ID：00000000:172ef9ef
审核标志：AC 数据库用户

此审核记录表明，2008 年 11 月 10 日，由于管理员尝试访问属于 WINSERVICE 类的 resource _default 而触发跟踪消息。 由于记录通用访问权限检查而允许管理员进行访问（授权阶段代码 1059－ 默认记录通用访问权限检查）。

更多信息：

有关用户的跟踪消息的授权阶段代码

指定记录创建原因的原因代码