登录事件
登录事件说明登录到 或 保护的主机的尝试。
cminder12901cn
登录事件说明登录到
Privileged Identity Manager
或 Privileged Identity Manager
保护的主机的尝试。此事件中的审核记录格式如下:
Date Time Status Event UserName SessionID Details Reason Terminal Program AuditFlags
- 日期标识事件发生的日期。格式:YYYY MMM DD注意:Privileged Identity Manager端点控制台根据您计算机的设置显示日期格式。
- 时间标识事件发生的时间。格式:HH:MM:SS注意:Privileged Identity Manager端点控制台会根据您的计算机的设置显示时间格式。
- 状态指示事件的返回代码。值:可为以下各项之一:
- D(拒绝)由于授权不足而拒绝事件。
- P(允许)允许事件。
- W(警告)允许事件(原因是虽然访问请求违反了访问规则,但是设置了警告模式)。
- 事件标识此记录所属的事件类型。注意:Privileged Identity Manager端点控制台只是将此字段称作事件。
- UserName标识执行触发此事件的操作的访问者名称。
- SessionID标识访问者的会话 ID。注意:默认情况下,在非详细 seaudit 输出中不显示此字段。 要在非详细 seaudit 输出中显示此字段,请在 seaudit 命令中指定 -sessionid 选项。
- 详细信息指示Privileged Identity Manager决定在哪个阶段为此事件采取何种操作。注意:您在非详细 seaudit 输出中看到的审核记录在此字段中显示为数字。 此数字称为授权阶段代码。 在详细输出或Privileged Identity Manager端点控制台中,审核记录将显示与授权阶段代码关联的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
- 原因标识Privileged Identity Manager写入审核记录的原因。注意:此字段不显示在详细 seaudit 输出或Privileged Identity Manager端点控制台中。 您在非详细 seaudit 输出中看到的审核记录将在此字段中显示为数字。 此数字称为原因代码。 有关原因代码的完整列表,请运行 seaudit -t。
- 终端标识访问者用于连接到主机的终端的名称。
- Program标识触发事件的程序的名称。 也就是说,访问者用于尝试访问资源的程序。 对于Privileged Identity Manager管理登录,这是登录的模块(selang、Web 服务等)。
- AuditFlags指示访问者是内部用户(Privileged Identity Manager数据库用户)还是企业用户。注意:如果访问者是企业用户,您在非详细 seaudit 输出中看到的审核记录在此字段中显示为字符串 "(OS user)"。 否则,此字段保留为空。
示例:登录事件消息
以下审核记录取自详细的 seaudit 输出。
28 Oct 2008 12:15:01 P LOGIN root 49047159:0000034b 59 2 _CRONJOB_ SBIN_CRON Event: Login event Status: Permitted UserName: root Terminal: _CRONJOB_ Program: SBIN_CRON Date: 28 Oct 2008 Time: 12:15 Details: Resource UACC check SessionID: 49047159:0000034b AuditFlags: AC database user
此审核记录表明 2008 年 10 月 28 日 12:15:01 用户 root 从终端 _CRONJOB_ 登录到受保护的主机,并运行了 SBIN_CRON 程序。
Privileged Identity Manager
允许该操作,原因是资源的默认访问权限允许此操作(授权阶段代码 59-资源 UACC 检查)。 已记录此事件,原因是访问者的审核模式指定应记录此事件(原因代码 2-用户审核模式要求记录)。