取消托管事件说明了 CA ControlMinder Watchdog 为事件生成的警告消息。
此事件中的审核记录格式如下:
日期 事件 状态 类 模块 详细信息 消息 ID/errno 文件
指明事件发生的日期。
格式:DD MMM YYYY
注意:CA ControlMinder 端点管理 根据您计算机的设置对日期的显示进行格式化。
指明事件发生的时间。
格式:HH:MM:SS
注意:CA ControlMinder 端点管理 根据您计算机的设置对时间的显示进行格式化。
表明发生取消托管事件。
值:U(取消托管)
指明触发 Watchdog 消息的资源所属的 CA ControlMinder 类。
值:PROGRAM 或 SECFILE
显示 CA ControlMinder Watchdog 的名称。
值:seoswd
表明发生取消托管事件的原因。
注意:无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。 此数字称为取消托管原因代码。 在详细的输出或 CA ControlMinder 端点管理 中,审核记录将显示与取消托管原因代码关联的消息。 要获得密码质量代码的完整列表,请运行 seaudit -t。
(仅限 UNIX)表明 CA ControlMinder 取消托管 PROGRAM 或 SECFILE 的原因。
注意:无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。 此数字称为状态代码,不显示在详细的输出或 CA ControlMinder 端点管理 中。 要了解状态代码的含义,请运行 seaudit -Stat 取消托管代码。 仅在授权阶段代码为 1 时显示此字段。 在所有其他情况下,均改为显示“错误号”字段。
表明 errno 变量的返回值(错误条件的错误代码)。
值:可以为以下值之一:
0-无错误。 仅在授权阶段代码为 1 时返回此值。 在此示例中,不显示“错误号”字段,而改为显示“消息 ID”字段。
错误号-表示错误的非零整数。
注意:要了解 UNIX 上错误的含义,请参阅本地计算机上的 /usr/include/errno.h 或 /usr/include/sys/errno.h 文件。 在 Windows 上,请在本地计算机上输入以下命令:net helpmsg 错误号
指明触发 Watchdog 消息的受保护资源的完整路径名。
示例:取消托管消息事件消息
以下审核记录取自详细的 seaudit 输出。
18 Nov 2008 14:01:18 U PROGRAM seoswd 1 11776 /tmp/testsuid 事件类型:取消托管消息 类:PROGRAM 模块名称:seoswd 消息 ID:11776 日期:2008 年 11月 18 日 时间:14:01 文件:/tmp/testsuid 详细信息:文件系统上的 Stat 信息已更改 审核标志:AC 数据库用户
此审核记录表明,2008 年 11 月 15 日,Watchdog 将程序 /tmp/testsuid 标记为取消托管 (U)。 该程序已取消托管,原因是文件状态信息已被修改(取消托管原因代码 1-文件系统上的 File 信息已更改)。
示例:使用 seaudit -Stat 查看程序取消托管的原因 (UNIX)
以下 seaudit -Stat 输出显示了可以如何获得有关审核记录提及的 Watchdog 消息 ID 的更多详细信息。
# seaudit -Stat 11776 CA ControlMinder seaudit v12.01.00.45-审核日志列出程序 版权所有 (c) 2008 CA。 保留所有权利。 文件的 MODE被更改 文件 INODE 被更改 文件 SIZE 被更改 文件 MTIME 被更改
通过消息 ID 运行 seaduit -Stat 命令,将显示对文件所做的更改的列表。 在此示例中,文件的 MODE、INODE、SIZE 和 MTIME 被更改。 因此,CA ControlMinder 将此文件标记为取消托管的文件。
|
版权所有 © 2013 CA。
保留所有权利。
|
|