取消信任消息事件
取消信任事件描述为事件生成的 Watchdog 的警告消息。
cminder12901cn
取消信任事件描述为事件生成的
Privileged Identity Manager
Watchdog 的警告消息。此事件中的审核记录格式如下:
Date Time Status Class Module Details MessageID/errno File
- Date标识事件发生的日期。格式:YYYY MMM DD注意:Privileged Identity Manager端点控制台根据您计算机的设置显示日期格式。
- Time标识事件发生的时间。格式:HH:MM:SS注意:Privileged Identity Manager端点控制台会根据您的计算机的设置显示时间格式。
- 状态表示已出现取消信任事件。值:U(取消信任)
- 类标识触发 watchdog 消息的资源所属的Privileged Identity Manager类。值:PROGRAM 或 SECFILE
- 模块名称显示Privileged Identity ManagerWatchdog 的名称。值:seoswd
- 详细信息表示出现取消信任事件的原因。注意:您在非详细 seaudit 输出中看到的审核记录在此字段中显示为数字。 此数字是取消信任原因代码。 在详细输出或Privileged Identity Manager端点控制台中,审核记录将显示与取消信任原因代码关联的消息。 要获取密码质量代码的完整列表,请运行 seaudit -t。
- 消息 ID(仅 UNIX)表示Privileged Identity Manager不信任 PROGRAM 或 SECFILE 的原因。注意:您在非详细 seaudit 输出中看到的审核记录在此字段中显示为数字。 此数字称为状态代码,并不会显示在详细输出或Privileged Identity Manager端点控制台中。 要了解状态代码的含义,请运行 seaudit -Statuntrust_code。 仅当在授权阶段代码为 1 时,才显示此字段。 在所有其他情况下,改为显示 errno 字段。
- errno表示 errno 变量的返回值(错误条件的错误代码)。值:可以是以下任一值:0没有错误。 仅当在授权阶段代码为 1,返回此值。 在这种情况下,不显示 errno 字段而改为显示消息 ID 字段。errno:非零的整数表示有错误。注意:要了解 UNIX 上错误的含义,请参阅本地计算机上的 /usr/include/errno.h or /usr/include/sys/errno.h 文件。 在 Windows 上,在本地计算机上输入以下命令:net helpmsgerrno
- 文件标识触发 Watchdog 消息的受保护资源的完整路径名。
示例:取消信任消息事件消息
以下审核记录取自详细的 seaudit 输出。
18 Nov 2008 14:01:18 U PROGRAM seoswd 1 11776 /tmp/testsuid Event type: Untrust message Class: PROGRAM Module name: seoswd Message ID: 11776 Date: 18 Nov 2008 Time: 14:01 File: /tmp/testsuid Details: Stat information changed on file system Audit flags: AC database user
此审核记录表明 2008 年 11 月 15 日 Watchdog 将程序 /tmp/testsuid 标记为取消信任 (U)。 该程序已取消信任,原因是文件状态信息已被修改(取消信任原因代码 1 文件信息已在文件系统上更改)。
示例:使用 seaudit -Stat 了解取消信任某个程序的原因 (UNIX)
以下 seaudit -Stat 输出显示您如何获取有关审核记录提及的 Watchdog 消息 ID 的更多详细信息。
# seaudit -Stat 11776 CA ControlMinder seaudit v12.01.00.45 - Audit log lister Copyright (c) 2008 CA. All rights reserved. The MODE of the file was changed The INODE of the file was changed The SIZE of the file was changed The MTIME of the file was changed
通过消息 ID 运行 seaduit -Stat 命令,将显示文件更改的列表。 在此示例中,文件的模式、 INODE、 大小和 MTIME 已更改。 因此
Privileged Identity Manager
将此文件标记为取消信任的文件。