在 UNIX 上有效
注销事件说明了尝试从 CA ControlMinder 或受 CA ControlMinder 保护的主机进行注销。
注意:注销事件仅在 UNIX 上受支持。 CA ControlMinder 实际上不截获注销。 相反,它假设在会话的最后一个进程终止时发生注销事件。
此事件中的审核记录格式如下:
日期 时间 状态 事件 用户名 会话 ID 详细信息 原因 终端 审核标志
指明事件发生的日期。
格式:DD MMM YYYY
注意:CA ControlMinder 端点管理 根据您计算机的设置对日期的显示进行格式化。
指明事件发生的时间。
格式:HH:MM:SS
注意:CA ControlMinder 端点管理 根据您计算机的设置对时间的显示进行格式化。
表明发生用户注销事件。
值:O(注销)
指明此记录所属的事件类型。
注意:CA ControlMinder 端点管理 只是简单地将此字段作为事件进行参阅。
指明执行触发此事件的操作的访问者名称。
指明访问者的会话 ID。
注意:默认情况下,在非详细 seaudit 输出中不显示此字段。 要在非详细 seaudit 输出中显示此字段,请在 seaudit 命令中指定 -sessionid 选项。
表明检测注销的方式。
表明 CA ControlMinder 决定在哪个阶段为此事件执行何种操作。
注意:无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。 此数字称为授权阶段代码。 在详细的输出或 CA ControlMinder 端点管理 中,审核记录将显示与授权阶段代码相关的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
表明 CA ControlMinder 写入审核记录的原因。
注意:详细的 seaudit 输出或 CA ControlMinder 端点管理 中不显示此字段。 无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。 此数字称为原因代码。 要获得原因代码的完整列表,请运行 seaudit -t。
指明访问者用于连接到主机的终端的名称。
表明访问者是内部用户(CA ControlMinder 数据库用户)还是企业用户。
注意:如果访问者是企业用户,则无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示字符串“(OS user)”。 否则,此字段保留为空。
示例:注销事件消息
以下审核记录取自详细的 seaudit 输出。
29 Jan 2009 17:23:33 O LOGOUT root 49 2 computer.com 事件类型:注销 状态:注销 用户名:root 终端:computer.com 日期:2009 年 1 月 29 日 时间:17:23 详细信息:最后一个进程终止后检测到注销。 审核标志:AC 数据库用户
此审核日志表明,2009 年 1 月 29 日,CA ControlMinder 检测到在远程终端 computer.com 上工作的用户 root 的最后一个会话进程已关闭,因此假设该用户已注销系统(授权阶段代码 49-最后一个进程终止后检测注销)。
|
版权所有 © 2013 CA。
保留所有权利。
|
|