审核记录存储在称为审核日志的文件中。 审核日志的位置在 seos.ini 文件中指定。 可以使用 seaudit 实用程序或 CA ControlMinder 端点管理 列出审核日志中的记录事件,按照时间限制或事件类型等来筛选事件。
注意:有关 seaudit 的详细信息,请参阅《参考指南》。
审核日志存储在本地,但是您可以通过使用日志传递工具,使用 CA ControlMinder 来分发审核信息。 考虑将旧的审核日志存档到磁带中,以便以后浏览事件。
默认情况下,由于 seosd 程序由 root 用户执行,因此,授权后台程序 seosd 使用 root 用户所有权来创建审核日志。 出于同样的原因,将使用仅向 root 用户授予的读取/写入权限来创建审核日志。
为了使其他用户可以读取审核日志,而无需使用 su(替换用户)替换为 root 用户,CA ControlMinder 在 seos.ini 文件中包括两个条目,用于指定将那种组所有权分配给日志文件。
假设您站点上的审核者是 auditforce 组的所有成员。 您希望这些用户可以浏览本地审核日志文件。 编辑 seos.ini 文件,以便将 [logmgr] 部分中的 audit_group 标记设置为 auditforce。 之后,CA ControlMinder 将授予 auditforce 组对本地审核日志的读取权限。 今后,在您的工作站创建的任何本地审核日志都将 auditforce 组作为其所有者。
日志传递后台程序将参考同一标记,以了解谁应该对后台程序生成和收集的审核日志拥有访问权限。 注意,审核日志像任何其他文件一样受 Access Control 约束,而 CA ControlMinder 规则可以阻止用户访问这些日志。
|
版权所有 © 2013 CA。
保留所有权利。
|
|