跟踪用户消息

跟踪用户消息事件说明打开、运行或使用受保护资源的企图。
cminder12901cn
跟踪用户消息事件说明打开、运行或使用受保护资源的企图。
在 Windows 上,此事件中的审核记录格式如下:
Date Time Status Event UserNameSessionID RealUID RealUsername Class Resource DetailsAuditFlags Trace
在 UNIX 上,此事件中的审核记录格式如下:
Date Time Status Event UserNameSessionID EffectiveUsername RealUsername Class Resource DetailsAuditFlags Trace
  • Date
    标识事件发生的日期。
    格式:
    YYYY MMM DD
    注意:
    Privileged Identity Manager
    端点控制台根据您计算机的设置显示日期格式。
  • Time
    标识事件发生的时间。
    格式:
    HH:MM:SS
    注意:
    Privileged Identity Manager
    端点控制台会根据您的计算机的设置显示时间格式。
  • 状态
    指示事件的返回代码。
    值:
    可为以下各项之一:
    • D(拒绝)由于授权不足而拒绝事件。
    • P(允许)允许事件。
    • W(警告)允许事件(原因是虽然访问请求违反了访问规则,但是设置了警告模式)。
    注意:
    在详细的 seaudit 输出中,此字段显示跟踪信息。
  • 事件类型
    标识此记录所属的事件类型。
    注意:
    Privileged Identity Manager
    端点控制台只是将此字段称作
    事件
  • 用户名
    标识执行触发此事件的操作的访问者名称。
  • 用户登录会话 ID
    标识访问者的会话 ID。
  • 真实用户 ID
    识别调用进程的用户的用户 ID。
    注意:
    (UNIX) 在非详细 seaudit 输出中不显示此字段。
  • 真实用户名
    识别执行跟踪操作的用户名。
  • 有效用户 ID
    (仅 UNIX)指示本地操作系统有效用户 ID 的 ID。
    注意:
    在非详细 seaudit 输出中不显示此字段。
  • 有效的用户名
    识别触发该事件的本机操作系统有效用户的名称。 如果用户替换(替代)为不同的用户或运行 setuid 程序,则不同于用户名。
  • 标识正在访问的资源所属的类。
  • 资源
    标识正在访问或更新的实际资源的名称。
  • 详细信息
    指示
    Privileged Identity Manager
    决定在哪个阶段为此事件采取何种操作。
    注意:
    您在非详细 seaudit 输出中看到的审核记录在此字段中显示为数字。 此数字称为授权阶段代码。 在详细输出或
    Privileged Identity Manager
    端点控制台中,审核记录将显示与授权阶段代码关联的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
  • 跟踪信息
    显示跟踪详细信息包括类、资源和操作,这些操作在该操作的资源或结果上执行。
  • 审核标志
    指示访问者是内部用户(
    Privileged Identity Manager
    数据库用户)还是企业用户。
    注意:
    如果访问者是企业用户,您在非详细 seaudit 输出中看到的审核记录在此字段中显示为字符串“(OS user)”。 否则,此字段保留为空。
示例:UNIX 的跟踪用户消息事件消息
以下审核记录取自详细的 seaudit 输出。
03 Nov 2008 10:38:47 P TRACE root 490daddd:00000140 john root FILE /home/jon/file.txt 55 FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Event type: Trace message on a user Date: 03 Nov 2008 Time: 10:38 Details: Resource ACL check Trace information: FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Class: FILE Resource: /home/admin/file.txt User name: root Real user ID: 108 Real user name: john Effective user ID: 108 Effective user name: root User Logon Session ID: 490daddd:00000140 Audit flags: AC database user
此审核记录表示在 2008 年 11 月 3 日跟踪消息由于管理员尝试访问属于 FILE 类的资源而记录。 根据被访问资源的 ACL 允许管理员进行访问(授权阶段代码 55-资源 ACL 检查)。
示例:Windows 的跟踪用户消息事件消息
以下审核记录取自详细的 seaudit 输出。
10 Nov 2008 10:14:53 P TRACE MACHINE\Administrator 00000000:172ef9ef MACHINE\john MACHINE\john WINSERVICE _default 1059 WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? Default record universal access check Event type: Trace message on a user Date: 10 Nov 2008 Time: 10:14 Details: Default record universal access check Trace information: WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? Default record universal access check Class: WINSERVICE Resource: _default User name: MACHINE\Administrator Real user name: MACHINE\john User Logon Session ID: 00000000:172ef9ef Audit flags:AC database user
此审核记录表示在 2008 年 11 月 10 日跟踪消息由于管理员尝试访问属于 WINSERVICE 类的资源 _default 而触发。 由于记录通用访问权限检查而允许管理员进行访问(授权阶段代码 1059- 默认记录通用访问权限检查)。