audit.cfg 文件用户事件跟踪消息筛选语法
属于用户事件跟踪消息的审核记录具有以下筛选格式:
cminder12901cn
属于用户事件跟踪消息的审核记录具有以下筛选格式:
TRACE;TracedClassName;TracedObjectName;RealUserName;EffectiveUserName;ACUserName;AuthorizationResult;TraceMessage
注意:
跟踪筛选的最大限制是 1000 个记录。- TRACE指定该规则筛选用户跟踪记录。
- TracedClassName定义用户尝试访问的对象类的名称。注意:以大写字母输入类的名称。
- TracedObjectName定义用户尝试访问的对象的名称。
- RealUserName(UNIX) 定义生成跟踪记录的真实用户的名称。(Windows) 定义生成跟踪记录的本地用户的名称。
- EffectiveUserName(UNIX) 定义生成跟踪记录的有效用户的名称。(Windows) 定义生成跟踪记录的本地用户的名称。 此参数与 RealUserName 参数相同。 对此参数使用 *。
- ACUserName定义 CA ControlMinder 选择用于授权事件的用户名称。
- 定义授权结果。AuthorizationResult值:P(允许),D(拒绝),*
- TraceMessage定义生成的跟踪消息。
示例:筛选跟踪用户消息事件
此示例筛选在有效用户是 root 且 root 访问 FILE 类中的对象时生成的所有用户跟踪记录:
TRACE;FILE;*;*;root;*;*;*