コミュニティ
system management
1753868 メンバー
7495 オンライン
108809 解決策
新規ポスト

アカウンティングログについて

 
ROOT
アドバイザー

‎04-08-2005 10:16 AM

‎04-08-2005 10:16 AM

アカウンティングログについて

こんにちは

アカウンティングログ設定をしたのですが、

発行されたコマンドは記録されるが、

オプションまたはパラメータは記録されない。

例えば、あるユーザがrm -r コマンドであるディレクトリを消した場合、

アカウンティングログだとrmしか取れないので、

ディレクトリを消したユーザが特定しにくい。

ユーザのhistoryですと限度があるし、

コマンドのオプションまたはパラメータを記録する方法をご存知の方、

ご教授願います。

返信
2件の返信2
テレコム担当者
尊敬されているコントリビューター

‎04-08-2005 11:48 AM

‎04-08-2005 11:48 AM

アカウンティングログについて

レスが無いようですので・・・

アカウンティングに各ユーザの名前、コマンドの引数を求めるのは

無理があるかも知れません。

http://docs.hp.com/ja/B2355-90857/acct.4.html

struct acct は以下のデータを持ちます。

char ac_comm; /* command name */

この ac_comm[] は引数を持たないと思います。

ac_uid と ac_gid でユーザの特定は可能な気がしますが、

ログに残るかは別問題だと思います。

uid_t ac_uid; /* Accounting user ID */

gid_t ac_gid; /* Accounting group ID */

アカウンティングは基本的にユーザに 100MB のディスクを

許容している場合、これを超えさせない機能であり、ユーザが

その間にファイルの作成、削除を繰り返す部分についての詳細は

関知しないと思われます。

ファイル改竄防止が目的ならばオプション製品はあります。
0 感謝
返信
N.Hanyu
貴重なコントリビューター

‎04-12-2005 10:38 AM

‎04-12-2005 10:38 AM

アカウンティングログについて

こんにちは。

アカウンティングログでは、確かに"rm -rf"で、

ディレクトリを消去すると、コマンドは"rm"

"rmdir"で消去すると、"rmdir"ですね。

高信頼性モードのイベント監視を取り入れてはどうでしょうか?

ユーザtest700が、TESTというディレクトリを消去すると、

"rmdir"イベントが発生します。下記の様なログを出力します。

----

TIME PID E EVENT PPID AID RUID RGID



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

050411 12:28:16 21674 S 137 21630 15 700 777





RETURN_VALUE 1 = 0;

PARAM #1 (file path) = 0 (cnode);

0x40000006 (dev);

16 (inode);

(path) = TEST

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

参考になれば。。。
返信
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります