关闭事件
关闭事件说明由管理员或具有系统关闭权限的子管理员用户执行的关闭进程。
cminder12901cn
Privileged Identity Manager
关闭事件说明由管理员或具有系统关闭权限的子管理员用户执行的关闭进程。此事件中的审核记录格式如下:
Date Time M Event UserName SessionID Details Service AuditFlags
- Date标识事件发生的日期。格式:YYYY MMM DD注意:Privileged Identity Manager端点控制台根据您计算机的设置显示日期格式。
- Time标识事件发生的时间。格式:HH:MM:SS注意:Privileged Identity Manager端点控制台会根据您的计算机的设置显示时间格式。
- 事件类型标识此记录所属的事件类型。注意:Privileged Identity Manager端点控制台只是将此字段称作事件。
- 用户名标识执行触发此事件的操作的访问者名称。
- 用户登录会话 ID标识访问者的会话 ID。注意:默认情况下,在非详细 seaudit 输出中不显示此字段。 要在非详细 seaudit 输出中显示此字段,请在 seaudit 命令中指定 -sessionid 选项。
- 详细信息指示Privileged Identity Manager决定在哪个阶段为此事件采取何种操作。注意:您在非详细 seaudit 输出中看到的审核记录在此字段中显示为数字。 此数字称为授权阶段代码。 在详细输出或Privileged Identity Manager端点控制台中,审核记录将显示与授权阶段代码关联的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
- 后台进程 (UNIX)/引擎服务 (Windows)指明已关闭的Privileged Identity Manager后台进程 (UNIX) 或服务 (Windows) 的名称。值:seosd(Privileged Identity Manager引擎)。
- 审核标志指示访问者是内部用户(Privileged Identity Manager数据库用户)还是企业用户。注意:如果访问者是企业用户,您在非详细 seaudit 输出中看到的审核记录在此字段中显示为字符串“(OS user)”。 否则,此字段保留为空。
示例:在 UNIX 上的关闭事件消息
以下审核记录取自详细的 seaudit 输出。
24 Sep 2008 15:40:46 M SHUTDOWN root 452 seosd Event type: Daemon shutdown User name: root Daemon: seosd Date: 24 Sep 2008 Time: 15:40:46 Details: User is ADMIN or SPECIAL User Logon Session ID: 48da26ce:00000142 Audit flags: CA ControlMinder database user
此审核记录表明,2008 年 9 月 24 日,允许正尝试关闭
Privileged Identity Manager
的用户 root 执行此操作,原因是该用户具有 ADMIN 属性(授权阶段代码 452-用户是 ADMIN 或 SPECIAL)。示例:在 Windows 上的关闭事件消息
以下审核记录取自详细的 seaudit 输出。
23 Dec 2008 12:56:20 D SHUTDOWN tst002 460 seosd Event type: Engine service shutdown User name: tst002 Engine service: seosd Date: 10 Feb 2009 Time: 12:56 Details: User is not allowed to shutdown CA ControlMinder User Logon Session ID: 00000000:04c240d5 Audit flags: AC database user
此审核记录表明,2008 年 12 月 23 日,关闭被拒绝,原因是不允许用户 tst002 关闭
Privileged Identity Manager
(授权阶段代码 460-不允许用户关闭 Privileged Identity Manager
)。