安全数据库管理事件

安全数据库管理事件用于描述 管理员或具有相应权限的子管理员所执行的且被 拦截的操作。
cminder12901cn
安全数据库管理事件用于描述
Privileged Identity Manager
管理员或具有相应权限的子管理员所执行的且被
Privileged Identity Manager
拦截的操作。
事件中的审核记录具有以下格式:
Date Time Status Event Class Admin Details Reason Object TerminalCommand AuditFlags
  • 日期
    标识事件发生的日期。
    格式:
    YYYY MMM DD
    注意:
    Privileged Identity Manager
    端点控制台根据您计算机的设置显示日期格式。
  • 时间
    标识事件发生的时间。
    格式:
    HH:MM:SS
    注意:
    Privileged Identity Manager
    端点控制台会根据您的计算机的设置显示时间格式。
  • 状态
    指示事件的返回代码。
    值:
    可为以下各项之一:
    • D(拒绝)由于授权不足而拒绝事件。
    • S(成功)允许事件。
    • F(失败)失败事件。
  • 事件类型
    标识此记录所属的事件类型。
    注意:
    Privileged Identity Manager
    端点控制台只是将此字段称作
    事件
  • 标识管理的资源所属的类。
  • 管理员
    标识执行 selang 命令的管理用户的名称。
  • 详细信息
    指示
    Privileged Identity Manager
    决定在哪个阶段为此事件采取何种操作。
    注意:
    您在非详细 seaudit 输出中看到的审核记录在此字段中显示为数字。 此数字称为授权阶段代码。 在详细输出或
    Privileged Identity Manager
    端点控制台中,审核记录将显示与授权阶段代码关联的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
  • 原因
    标识
    Privileged Identity Manager
    写入审核记录的原因。
    注意:
    此字段不显示在详细 seaudit 输出或
    Privileged Identity Manager
    端点控制台中。 您在非详细 seaudit 输出中看到的审核记录将在此字段中显示为数字。 此数字称为原因代码。 有关原因代码的完整列表,请运行 seaudit -t。
  • 对象
    标识受管理的资源的名称。
  • 终端
    标识访问者用于连接到主机的终端的名称。
    注意:
    如果命令源自父策略模型,此字段将显示完全限定的 PMD 名称。
  • 命令
    显示用户执行的 selang 命令。
  • 审核标志
    指示访问者是内部用户(
    Privileged Identity Manager
    数据库用户)还是企业用户。
    注意:
    如果访问者是企业用户,您在非详细 seaudit 输出中看到的审核记录在此字段中显示为字符串 "(OS user)"。 否则,此字段保留为空。
  • 命令类型
    标识此事件说明的数据库管理命令的类型。
    值可为以下各项之一:
    • 添加用户:
      用于 newusr 命令
    • 添加组:
      用于 newgrp 命令
    • 添加资源:
      用于 newres 或 newfile 命令
    • 修改用户:
      用于 chusr 命令
    • 修改组:
      用于 chgrp 命令
    • 修改组成员资格:
      用于 join 命令
    • 修改资源:
      用于 chres 命令
    • 修改资源访问:
      用于 authorize 命令
    • 删除用户:
      用于 rmusr 命令
    • 删除组:
      用于 rmgrp 命令
    • 删除资源:
      用于 rmres 或 rmfile 命令
    • 设置选项:
      用于 setoptions 命令
    • 添加/修改用户:
      用于 editusr 命令
    • 添加/修改组:
      用于 editgrp 命令
    • 添加/修改资源:
      用于 editres 或 editfile 命令
    • 管理命令:
      用于其他命令
示例:安全数据库管理事件消息
以下审核记录取自详细的 seaudit 输出。
05 Nov 2008 15:45:12 S UPDATE FILE DOMAIN_NAME\computer 305 0 dfdok computer.com cr file dfdok defacc(r) Event type: Security database administration Command type: Modify resource Status: Successful Administrator: DOMAIN_NAME\computer Class: FILE Object: dfdok Terminal: computer.com Date: 05 Nov 2008 Time: 15:45 Details: Command successful for ADMIN user. Command: cr file dfdok defacc(r) Audit flags: AC database user
此审核记录表明,2008 年 11 月 5 日,
Privileged Identity Manager
拒绝管理员试图通过在从终端 computer.com 登录的受保护主机上执行命令 cr file dfdok defacc(r) 来更新文件的访问(授权阶段代码 305 - 允许 ADMIN 用户使用的命令)。