要了解审核记录的内容,您必须先识别该审核记录的事件类型。 这是因为记录所包含的数据取决于触发审核记录创建的事件类型。
注意:显示的审核日志记录的列的顺序、编号和内容取决于您选择的查看审核日志的方法。 某些字段不会在 CA ControlMinder 端点管理、seaudit 输出或详细的 seaudit 输出中显示。 同样,如果您使用 seaudit 实用程序,您所指定的选项也可能会决定列的编号、顺序和内容。
识别审核记录的事件类型:
要显示关于审核记录的详细信息,请单击第一列中的链接审核事件类型。
识别事件类型之后,您便可继续解读剩余的消息详细信息。
示例:CA ControlMinder 端点管理 中的审核记录
下图向您展示了 CA ControlMinder 端点管理 显示审核事件的方式:
示例:默认 seaudit 输出中的审核记录
以下 seaudit 输出片段向您展示了默认情况下 seaudit 实用程序显示审核事件的方式:
19 Dec 2008 16:46:47 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:46:52 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:46:53 P LOGIN TM123VM-AC\Administrator 55 2 TM123VM-AC C:\WINDOWS\system32\lsass.exe 19 Dec 2008 16:46:57 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:02 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:07 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:12 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:16 S UPDATE GROUP TM123VM-AC\Administrator 336 0 test TM123VM-AC egtest audit- 19 Dec 2008 18:28:18 P LOGIN TM123VM-AC\Administrator 55 10 TM123VM-AC selang 19 Dec 2008 18:28:18 S UPDATE TERMINAL TM123VM-AC\Administrator 305 0 TM123VM-AC-SC1.ca.com TM123VM-AC er terminal TM123VM-AC-SC1.ca.com
以上第一个消息的详细 seaudit 输出如下所示:
19 Dec 2008 16:46:47 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TW852VM-AC 事件类型:资源访问 状态:已允许 类:WINSERVICE 资源:VMTools 访问:读取 用户名:TM123VM-AC\Administrator 用户登录会话 ID:00000000:05647d29 终端:TM123VM-AC 程序:C:\WINDOWS\system32\services.exe 日期:19 Dec 2008 时间:16:46 详细信息:默认记录通用访问权限检查 审核标志:AC 数据库用户
|
版权所有 © 2013 CA。
保留所有权利。
|
|