如何识别审核记录的事件类型

要了解审核记录的内容,您必须首先识别审核记录的事件类型。 这是因为记录所包含的数据取决于创建审核记录时触发的事件类型。
cminder12901cn
要了解审核记录的内容,您必须首先识别审核记录的事件类型。 这是因为记录所包含的数据取决于创建审核记录时触发的事件类型。
注意:
审核日志记录的列的顺序、编号和内容取决于您选择查看审核日志的方式。 某些字段不显示在
Privileged Identity Manager
端点控制台、seaudit 输出或详细的 seaudit 输出中。 此外,如果使用 seaudit 实用工具,您指定的选项可能也会确定列的顺序、编号和内容。
识别审核记录的事件类型:
  • 如果您在
    Privileged Identity Manager
    端点控制台中查看审核记录,审核记录所属的事件类型显示在“审核记录结果”窗格的第一列中。
    要显示有关审核记录的详细信息,请单击第一列中的审核事件类型链接。
  • 如果您在 seaudit 输出中查看审核记录,您需要显示详细的输出(-detail 选项)才能看到事件类型。
识别了事件类型之后,可以继续解读消息的其余详细信息。
示例:
Privileged Identity Manager
端点控制台中的审核记录
下图显示
Privileged Identity Manager
端点控制台如何显示审核事件:
The Audit Records Result pane displays audit records that match the display filter criteria
示例: 默认 seaudit 输出中的审核记录
以下 seaudit 输出的片段显示在默认情况下,seaudit 实用工具如何显示审核事件:
19 Dec 2008 16:46:47 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:46:52 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:46:53 P LOGIN TM123VM-AC\Administrator 55 2 TM123VM-AC C:\WINDOWS\system32\lsass.exe 19 Dec 2008 16:46:57 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:02 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:07 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:12 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TM123VM-AC 19 Dec 2008 16:47:16 S UPDATE GROUP TM123VM-AC\Administrator 336 0 test TM123VM-AC egtest audit- 19 Dec 2008 18:28:18 P LOGIN TM123VM-AC\Administrator 55 10 TM123VM-AC selang 19 Dec 2008 18:28:18 S UPDATE TERMINAL TM123VM-AC\Administrator 305 0 TM123VM-AC-SC1.ca.com TM123VM-AC er terminal TM123VM-AC-SC1.ca.com
以上第一条消息的 seaudit 输出详细信息如下:
19 Dec 2008 16:46:47 P WINSERVICE TM123VM-AC\Administrator Read 1059 2 VMTools C:\WINDOWS\system32\services.exe TW852VM-AC Event type: Resource access Status: Permitted Class: WINSERVICE Resource: VMTools Access: Read User name: TM123VM-AC\Administrator User Logon Session ID: 00000000:05647d29 Terminal: TM123VM-AC Program: C:\WINDOWS\system32\services.exe Date: 19 Dec 2008 Time: 16:46 Details: Default record universal access check Audit flags: AC database user