登录事件

登录事件对登录 CA ControlMinder 或 CA ControlMinder 保护的主机的尝试进行了说明。

此事件中的审核记录格式如下：

日期 时间 状态 事件 用户名 会话 ID 详细信息 原因 终端 程序审核标志

日期

指明事件发生的日期。

格式：DD MMM YYYY

注意：CA ControlMinder 端点管理根据您计算机的设置对日期的显示进行格式化。

时间

指明事件发生的时间。

格式：HH:MM:SS

注意：CA ControlMinder 端点管理根据您计算机的设置对时间的显示进行格式化。

状态

表明事件的返回代码。

值：可以为以下值之一：

D（已拒绝）- 由于授权不足而拒绝事件。
P（已允许）- 允许事件。
W（警告）- 允许事件，原因是虽然访问请求违反了访问规则，但是设置了警告模式。

事件类型

指明此记录所属的事件类型。

注意：CA ControlMinder 端点管理只是简单地将此字段作为事件进行参阅。

用户名

指明执行触发此事件的操作的访问者名称。

用户登录会话 ID

指明访问者的会话 ID。

注意：默认情况下，在非详细 seaudit 输出中不显示此字段。要在非详细 seaudit 输出中显示此字段，请在 seaudit 命令中指定 -sessionid 选项。

详细信息

表明 CA ControlMinder 决定在哪个阶段为此事件执行何种操作。

注意：无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。此数字称为授权阶段代码。在详细的输出或 CA ControlMinder 端点管理中，审核记录将显示与授权阶段代码相关的消息。要获得阶段代码的完整列表，请运行 seaudit -t。

原因

表明 CA ControlMinder 写入审核记录的原因。

注意：详细的 seaudit 输出或 CA ControlMinder 端点管理中不显示此字段。无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。此数字称为原因代码。要获得原因代码的完整列表，请运行 seaudit -t。

终端

指明访问者用于连接到主机的终端的名称。

程序

指明触发事件的程序的名称。即访问者用于尝试登录的程序。对于 CA ControlMinder 管理登录，此为已登录的 CA ControlMinder 模块（selang、Web 服务等）。

审核标志

表明访问者是内部用户（CA ControlMinder 数据库用户）还是企业用户。

注意：如果访问者是企业用户，则无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示字符串“(OS user)”。否则，此字段保留为空。

示例：登录事件消息

以下审核记录取自详细的 seaudit 输出。

28 Oct 2008 12:15:01 P LOGIN  root  49047159:0000034b  59  2  _CRONJOB_  SBIN_CRON
事件类型：登录事件
状态：已允许
用户名：root
终端：_CRONJOB_
程序：SBIN_CRON
日期：2008 年 10 月 28 日
时间：12:15
详细信息：资源 UACC 检查
用户登录会话 ID：49047159:0000034b
审核标志：AC 数据库用户

该审核记录表明 2008 年 10 月 28 日 12:15:01 用户 root 从终端 _CRONJOB_ 登录到受保护的主机并运行了 SBIN_CRON 程序。 CA ControlMinder 允许该操作，原因是资源的默认访问权限允许此操作（授权阶段代码 59－资源 UACC 检查）。 CA ControlMinder 已记录此事件，原因是访问者的审核模式指定应记录此事件（原因代码 2－用户审核模式要求记录）。