跟踪用户消息

跟踪用户消息事件说明打开、运行或使用受保护资源的企图。

在 Windows 上，此事件中的审核记录格式如下：

Date Time Status Event UserName SessionID RealUID RealUsername Class Resource Details AuditFlags Trace

在 UNIX 上，此事件中的审核记录格式如下：

Date Time Status Event UserName SessionID EffectiveUsername RealUsername Class Resource Details AuditFlags Trace

日期

指明事件发生的日期。

格式：DD MMM YYYY

注意：CA ControlMinder 端点管理根据您计算机的设置对日期的显示进行格式化。

时间

指明事件发生的时间。

格式：HH:MM:SS

注意：CA ControlMinder 端点管理根据您计算机的设置对时间的显示进行格式化。

状态

表明事件的返回代码。

值：可以为以下值之一：

D（已拒绝）- 由于授权不足而拒绝事件。
P（已允许）- 允许事件。
W（警告）- 允许事件，原因是虽然访问请求违反了访问规则，但是设置了警告模式。

注意：在详细的 seaudit 输出中，此字段显示跟踪信息。

事件类型

指明此记录所属的事件类型。

注意：CA ControlMinder 端点管理只是简单地将此字段作为事件进行参阅。

用户名

指明执行触发此事件的操作的访问者名称。

用户登录会话 ID

指明访问者的会话 ID。

真实用户 ID

识别调用进程的用户的用户 ID。

注意：(UNIX) 在非详细 seaudit 输出中不显示此字段。

真实用户名

识别执行跟踪操作的用户名。

有效用户 ID

（仅限 UNIX）表明本地操作系统有效用户的 ID。

注意：在非详细 seaudit 输出中不显示此字段。

有效的用户名

识别触发该事件的本机操作系统有效用户的名称。如果用户替换（替代）为不同的用户或运行 setuid 程序，则不同于用户名。

类

指明被访问的资源所属的类。

资源

指明正在被访问或更新的实际资源的名称。

详细信息

表明 CA ControlMinder 决定在哪个阶段为此事件执行何种操作。

注意：无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示一个数字。此数字称为授权阶段代码。在详细的输出或 CA ControlMinder 端点管理中，审核记录将显示与授权阶段代码相关的消息。要获得阶段代码的完整列表，请运行 seaudit -t。

跟踪信息

显示跟踪详细信息包括类、资源和操作，这些操作在该操作的资源或结果上执行。

审核标志

表明访问者是内部用户（CA ControlMinder 数据库用户）还是企业用户。

注意：如果访问者是企业用户，则无详细信息的 seaudit 输出中显示的审核记录将在此字段中显示字符串“(OS user)”。否则，此字段保留为空。

示例：UNIX 的跟踪用户消息事件消息

以下审核记录取自详细的 seaudit 输出。

03 Nov 2008 10:38:47 P TRACE        root         490daddd:00000140 john         root         FILE         /home/jon/file.txt   55  FILE    > Result: 'P' [stage=55 gstag=55 ACEEH=8   rv=0(/home/john/file.txt
Event type: Trace message on a user
Date: 03 Nov 2008
Time: 10:38
Details: Resource ACL check
Trace information: FILE    > Result: 'P' [stage=55 gstag=55 ACEEH=8    rv=0(/home/john/file.txt
Class: FILE
Resource: /home/admin/file.txt
User name: root
Real user ID: 108
Real user name: john
Effective user ID: 108
Effective user name: root
User Logon Session ID: 490daddd:00000140
Audit flags: AC database user

此审核记录表示在 2008 年 11 月 3 日跟踪消息由于管理员尝试访问属于 FILE 类的资源而记录。根据被访问资源的 ACL 允许管理员进行访问（授权阶段代码 55－资源 ACL 检查）。

示例：Windows 的跟踪用户消息事件消息

以下审核记录取自详细的 seaudit 输出。

10 Nov 2008 10:14:53 P TRACE        MACHINE\Administrator 00000000:172ef9ef MACHINE\john MACHINE\john WINSERVICE   _default     1059  WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6    rv=0x0 (WebClient)]                         Why?  Default record universal access check
Event type: Trace message on a user
Date: 10 Nov 2008
Time: 10:14
Details: Default record universal access check
Trace information: WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6    rv=0x0 (WebClient)]                        Why?  Default record universal access check
Class: WINSERVICE
Resource: _default
User name: MACHINE\Administrator
Real user name: MACHINE\john
User Logon Session ID: 00000000:172ef9ef
Audit flags: AC database user

此审核记录表示在 2008 年 11 月 10 日跟踪消息由于管理员尝试访问属于 WINSERVICE 类的资源 _default 而触发。由于记录通用访问权限检查而允许管理员进行访问（授权阶段代码 1059－默认记录通用访问权限检查）。