资源访问事件

资源访问事件说明了尝试访问资源,例如:FILE、TERMINAL、PROGRAM 及更多资源。 此事件中的审核记录数据可以显示在其他记录中,例如:访问者尝试访问 TERMINAL 资源时,可以显示在 LOGIN 事件。 虽然这种情况下的事件记录是 LOGIN 类型,但在记录中显示的审核记录数据是资源访问事件消息之一。
cminder12901cn
资源访问事件说明了尝试访问资源,例如:FILE、TERMINAL、PROGRAM 及更多资源。 此事件中的审核记录数据可以显示在其他记录中,例如:访问者尝试访问 TERMINAL 资源时,可以显示在 LOGIN 事件。 虽然这种情况下的事件记录是 LOGIN 类型,但在记录中显示的审核记录数据是资源访问事件消息之一。
此事件中的审核记录格式如下:
Date Time Status Class UserName SessionID Access Details Reason Resource Program Terminal EffectiveUserName AuditFlags
注意:
在 UNIX 或 Linux 中,
AuditFlags
参数在
EffectiveUserName
参数之前。
  • 日期
    标识事件发生的日期。
    格式:
    YYYY MMM DD
    注意:
    Privileged Identity Manager
    端点控制台根据您计算机的设置显示日期格式。
  • 时间
    标识事件发生的时间。
    格式:
    HH:MM:SS
    注意:
    Privileged Identity Manager
    端点控制台会根据您的计算机的设置显示时间格式。
  • 状态
    指示事件的返回代码。
    值:
    可为以下各项之一:
    • D(拒绝)由于授权不足而拒绝事件。
    • P(允许)允许事件。
    • W(警告)允许事件(原因是虽然访问请求违反了访问规则,但是设置了警告模式)。
    • N(通知)允许事件,并通知已尝试访问允许的资源。
    • F(失败)允许,但操作系统命令失败。
  • 标识正在访问的资源所属的类。
  • 用户名
    标识执行触发此事件的操作的访问者名称。
  • 用户登录会话 ID
    标识访问者的会话 ID。
    注意:
    默认情况下,在非详细 seaudit 输出中不显示此字段。 要在非详细 seaudit 输出中显示此字段,请在 seaudit 命令中指定 -sessionid 选项。
  • 访问
    识别触发此事件的尝试访问类型。
    示例:
    读取
    注意:
    访问值取决于拦截资源所属的类。 有关每个类的访问权限的更多信息,请参阅《
    selang 参考指南
    》。
  • 详细信息
    指示
    Privileged Identity Manager
    决定在哪个阶段为此事件采取何种操作。
    注意:
    您在非详细 seaudit 输出中看到的审核记录在此字段中显示为数字。 此数字称为授权阶段代码。 在详细输出或
    Privileged Identity Manager
    端点控制台中,审核记录将显示与授权阶段代码关联的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
  • 原因
    标识
    Privileged Identity Manager
    写入审核记录的原因。
    注意:
    此字段不显示在详细 seaudit 输出或
    Privileged Identity Manager
    端点控制台中。 您在非详细 seaudit 输出中看到的审核记录将在此字段中显示为数字。 此数字称为原因代码。 有关原因代码的完整列表,请运行 seaudit -t。
  • 资源
    标识正在访问或更新的实际资源的名称。
  • 程序
    标识触发事件的程序的名称。 也就是说,访问者用于尝试访问资源的程序。
  • 终端
    标识访问者用于连接到主机的终端的名称。 (仅限于 UNIX。)
  • 有效的用户名
    识别触发该事件的本机操作系统有效用户的名称。 如果用户替换(替代)为不同的用户或运行 setuid 程序,则不同于用户名。
  • 审核标志
    指示访问者是内部用户(
    Privileged Identity Manager
    数据库用户)还是企业用户。
    注意:
    如果访问者是企业用户,您在非详细 seaudit 输出中看到的审核记录在此字段中显示为字符串 "(OS user)"。 否则,此字段保留为空。
示例:资源访问事件消息
以下审核记录取自详细的 seaudit 输出。
18 Nov 2008 15:23:56 D FILE admabc 4922ae61:00000132 Read 69 3 /tmp/one /usr/local/bin/tcsh localhost admabc Event type: Resource access Status: Denied Class: FILE Resource: /tmp/one Access: Read User name: admabc Terminal: localhost Program: /usr/local/bin/tcsh Date: 18 Nov 2008 Time: 15:23 Details: No Step that allowed access User Logon Session ID: 4922ae61:00000132 Audit flags: AC database user Effective user name: admabc
此审核记录表示在 2008 年 11 月 18 日 15:23:56 用户 admabc 使用来自本地计算机的 UNIX tcsh shell 程序尝试和读取受保护的 /tmp/one 文件资源。
Privileged Identity Manager
拒绝该操作,原因是数据库中没有授权此类访问的规则(授权阶段代码 69-没有允许访问的步骤)。
Privileged Identity Manager
已记录此事件,原因是资源的审核模式指定应记录此事件(原因代码 3 资源审核模式要求记录)。