跟踪用户消息
跟踪用户消息事件说明打开、运行或使用受保护资源的企图。
cminder12901cn
跟踪用户消息事件说明打开、运行或使用受保护资源的企图。
在 Windows 上,此事件中的审核记录格式如下:
Date Time Status Event UserNameSessionID RealUID RealUsername Class Resource DetailsAuditFlags Trace
在 UNIX 上,此事件中的审核记录格式如下:
Date Time Status Event UserNameSessionID EffectiveUsername RealUsername Class Resource DetailsAuditFlags Trace
- Date标识事件发生的日期。格式:YYYY MMM DD注意:Privileged Identity Manager端点控制台根据您计算机的设置显示日期格式。
- Time标识事件发生的时间。格式:HH:MM:SS注意:Privileged Identity Manager端点控制台会根据您的计算机的设置显示时间格式。
- 状态指示事件的返回代码。值:可为以下各项之一:
- D(拒绝)由于授权不足而拒绝事件。
- P(允许)允许事件。
- W(警告)允许事件(原因是虽然访问请求违反了访问规则,但是设置了警告模式)。
注意:在详细的 seaudit 输出中,此字段显示跟踪信息。 - 事件类型标识此记录所属的事件类型。注意:Privileged Identity Manager端点控制台只是将此字段称作事件。
- 用户名标识执行触发此事件的操作的访问者名称。
- 用户登录会话 ID标识访问者的会话 ID。
- 真实用户 ID识别调用进程的用户的用户 ID。注意:(UNIX) 在非详细 seaudit 输出中不显示此字段。
- 真实用户名识别执行跟踪操作的用户名。
- 有效用户 ID(仅 UNIX)指示本地操作系统有效用户 ID 的 ID。注意:在非详细 seaudit 输出中不显示此字段。
- 有效的用户名识别触发该事件的本机操作系统有效用户的名称。 如果用户替换(替代)为不同的用户或运行 setuid 程序,则不同于用户名。
- 类标识正在访问的资源所属的类。
- 资源标识正在访问或更新的实际资源的名称。
- 详细信息指示Privileged Identity Manager决定在哪个阶段为此事件采取何种操作。注意:您在非详细 seaudit 输出中看到的审核记录在此字段中显示为数字。 此数字称为授权阶段代码。 在详细输出或Privileged Identity Manager端点控制台中,审核记录将显示与授权阶段代码关联的消息。 要获得阶段代码的完整列表,请运行 seaudit -t。
- 跟踪信息显示跟踪详细信息包括类、资源和操作,这些操作在该操作的资源或结果上执行。
- 审核标志指示访问者是内部用户(Privileged Identity Manager数据库用户)还是企业用户。注意:如果访问者是企业用户,您在非详细 seaudit 输出中看到的审核记录在此字段中显示为字符串“(OS user)”。 否则,此字段保留为空。
示例:UNIX 的跟踪用户消息事件消息
以下审核记录取自详细的 seaudit 输出。
03 Nov 2008 10:38:47 P TRACE root 490daddd:00000140 john root FILE /home/jon/file.txt 55 FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Event type: Trace message on a user Date: 03 Nov 2008 Time: 10:38 Details: Resource ACL check Trace information: FILE > Result: 'P' [stage=55 gstag=55 ACEEH=8 rv=0(/home/john/file.txt Class: FILE Resource: /home/admin/file.txt User name: root Real user ID: 108 Real user name: john Effective user ID: 108 Effective user name: root User Logon Session ID: 490daddd:00000140 Audit flags: AC database user
此审核记录表示在 2008 年 11 月 3 日跟踪消息由于管理员尝试访问属于 FILE 类的资源而记录。 根据被访问资源的 ACL 允许管理员进行访问(授权阶段代码 55-资源 ACL 检查)。
示例:Windows 的跟踪用户消息事件消息
以下审核记录取自详细的 seaudit 输出。
10 Nov 2008 10:14:53 P TRACE MACHINE\Administrator 00000000:172ef9ef MACHINE\john MACHINE\john WINSERVICE _default 1059 WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? Default record universal access check Event type: Trace message on a user Date: 10 Nov 2008 Time: 10:14 Details: Default record universal access check Trace information: WINSERVICE > (C:\WINDOWS\system32\services.exe) Result: 'P' [stage=1059 gstag=1059 ACEEH=6 rv=0x0 (WebClient)] Why? Default record universal access check Class: WINSERVICE Resource: _default User name: MACHINE\Administrator Real user name: MACHINE\john User Logon Session ID: 00000000:172ef9ef Audit flags:AC database user
此审核记录表示在 2008 年 11 月 10 日跟踪消息由于管理员尝试访问属于 WINSERVICE 类的资源 _default 而触发。 由于记录通用访问权限检查而允许管理员进行访问(授权阶段代码 1059- 默认记录通用访问权限检查)。