|
|
|
资源访问事件说明了尝试访问资源,例如:FILE、TERMINAL、PROGRAM 及更多资源。 此事件中的审核记录数据可以显示在其他记录中,例如:访问者尝试访问 TERMINAL 资源时,可以显示在 LOGIN 事件。 虽然此示例中的事件记录属于 LOGIN 类型,但是记录中显示的审核记录数据是其中一个资源访问事件消息。
此事件中的审核记录格式如下:
日期 时间 状态 类 用户名 会话 ID 访问 详细信息 原因 资源 程序 终端 有效用户名 审核标志
指明事件发生的日期。
格式:DD MMM YYYY
注意:CA Access Control 端点管理 根据您计算机的设置对日期的显示进行格式化。
指明事件发生的时间。
格式:HH:MM:SS
注意:CA Access Control 端点管理 根据您计算机的设置对时间的显示进行格式化。
表明事件的返回代码。
值:可以为以下值之一:
指明被访问的资源所属的类。
指明执行触发此事件的操作的访问者名称。
指明访问者的会话 ID。
注意:默认情况下,在非详细 seaudit 输出中不显示此字段。 要在非详细 seaudit 输出中显示此字段,请在 seaudit 命令中指定 -sessionid 选项。
指明触发此事件的尝试访问的类型。
示例:读取
注意:访问值取决于截获资源所属的类。 有关每个类的访问授权的详细信息,请参阅《selang 参考指南》。
表明 CA Access Control 决定在哪个阶段为此事件执行何种操作。
注意:无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。 此数字称为授权阶段代码。 在详细的输出或 CA Access Control 端点管理 中,审核记录将显示与授权阶段代码相关的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
表明 CA Access Control 写入审核记录的原因。
注意:详细的 seaudit 输出或 CA Access Control 端点管理 中不显示此字段。 无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。 此数字称为原因代码。 要获得原因代码的完整列表,请运行 seaudit -t。
指明正在被访问或更新的实际资源的名称。
指明触发事件的程序的名称。 即,访问者用于尝试访问资源的程序。
指明访问者用于连接到主机的终端的名称。 (仅 UNIX。)
(仅 UNIX)识别触发该事件的本机操作系统有效用户的名称。 如果用户替换(替代)为不同的用户或运行 setuid 程序,则不同于用户名。
注意:在 KBL 审核输出中不显示此字段。
表明访问者是内部用户(CA Access Control 数据库用户)还是企业用户。
注意:如果访问者是企业用户,则无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示字符串“(OS user)”。 否则,此字段保留为空。
示例:资源访问事件消息
以下审核记录取自详细的 seaudit 输出。
18 Nov 2008 15:23:56 D FILE admabc 4922ae61:00000132 Read 69 3 /tmp/one /usr/local/bin/tcsh localhost admabc 事件类型:资源访问 状态:已拒绝 类:FILE 资源:/tmp/one 访问:读取 用户名:admabc 终端:localhost 程序:/usr/local/bin/tcsh 日期:2008 年 11月 18 日 时间:15:23 详细信息:没有允许访问的步骤 用户登录会话 ID:4922ae61:00000132 审核标志:AC 数据库用户 有效用户名:admabc
此审核记录表明,2008 年 11 月 18 日 15:23:56,用户 admabc 使用本地计算机中的 UNIX tcsh shell 程序尝试读取受保护的 /tmp/one 文件资源。 CA Access Control 拒绝用户执行该操作,原因是数据库中没有授权此类访问的规则(授权阶段代码 69-没有允许访问的步骤)。 CA Access Control 已记录此事件,原因是资源的审核模式指定应记录此事件(原因代码 3-资源审核模式要求记录)。
| 版权所有 © 2012 CA。 保留所有权利。 | 就该主题发送电子邮件至 CA Technologies |