Protokollierbare Ereignisse

Feste Ereignisse

Feste Ereignisse werden immer protokolliert, wenn die Revision aktiviert ist und können nicht verändert werden. Die systemweite Ereignismaske enthält daher immer die festen Ereignisse, wenn die Revision aktiviert ist. Zu den festen Ereignissen, die bewusst auf einen Teil der protokollierbaren Ereignisse reduziert wurden, gehören:

alle Aktionen, die mit dem Revisions-Subsystem verknüpft sind
alle Versuche, das Systemdatum zu ändern
alle Aktionen, die mit Benutzer- und Gruppenattributen verknüpft sind
Änderungen des Betriebsmodus

Die festen Ereignisse stellen Aktionen dar, die aufgezeichnet werden müssen, damit die Integrität und die Exaktheit der Daten im Ereignisprotokoll gewährleistet sind. Wenn Sie nur die festen Ereignisse aufzeichnen, erhalten Sie kein vollständiges Bild aller Aktionen, die die Systemsicherheit beeinträchtigen könnten.

Die folgende Ereignistabelle enthält jeweils den Namen, eine kurze Beschreibung, den Befehl bzw. Systemaufruf, der das Ereignis auslöst sowie eine Bemerkung, ob das Ereignis für die Revision auf Objektebene genutzt werden kann.

Feste Ereignisse

Ereignis Beschreibung Manualseite Objektrevision

add_grp Gruppen hinzufügen groupadd(1M) N

add_usr Benutzerattribute hinzufügen useradd(1M) N

add_usr_grp Gruppenmitglieder hinzufügen useradd(1M), usermod(1M) N

audit_buf Revisionspufferattribute einstellen auditbuf(2) N

audit_ctl Revision aktivieren/deaktivieren auditoff(1M), auditon(1M), auditctl(2) N

audit_dmp auditdmp-Fehler auditdmp(2) N

audit_evt protokollierbare Ereignisse einstellen auditset(1M), auditevt(2) N

audit_log Protokolldateiattribute einstellen auditlog(1M), auditlog(2) N

audit_map Revisions-Zuordnungsdatei erstellen auditmap(1M) N

date Datum ändern adjtime(2), stime(2), settimeofday(2) N

init Betriebsmodus ändern init(1M) N

mod_grp Gruppeninformationen ändern groupmod(1M) N

mod_usr Benutzerinformationen ändern usermod(1M) N

Ereignis	Beschreibung	Manualseite	Objektrevision
add_grp	Gruppen hinzufügen	groupadd(1M)	N
add_usr	Benutzerattribute hinzufügen	useradd(1M)	N
add_usr_grp	Gruppenmitglieder hinzufügen	useradd(1M), usermod(1M)	N
audit_buf	Revisionspufferattribute einstellen	auditbuf(2)	N
audit_ctl	Revision aktivieren/deaktivieren	auditoff(1M), auditon(1M), auditctl(2)	N
audit_dmp	auditdmp-Fehler	auditdmp(2)	N
audit_evt	protokollierbare Ereignisse einstellen	auditset(1M), auditevt(2)	N
audit_log	Protokolldateiattribute einstellen	auditlog(1M), auditlog(2)	N
audit_map	Revisions-Zuordnungsdatei erstellen	auditmap(1M)	N
date	Datum ändern	adjtime(2), stime(2), settimeofday(2)	N
init	Betriebsmodus ändern	init(1M)	N
mod_grp	Gruppeninformationen ändern	groupmod(1M)	N
mod_usr	Benutzerinformationen ändern	usermod(1M)	N

Die Ereignisse audit_buf, audit_ctl, audit_dmp, audit_evt, audit_log und audit_map werden aufgezeichnet, um sicherzustellen, dass Sie den Zustand des Revisions-Subsystems und die Richtigkeit der Protokolldatei immer überprüfen können. Das Ereignisdatum ist ein wichtiger Teil des Revisionsdatensatzes. Daher werden alle Änderungen am Systemdatum (das Ereignis date) aufgezeichnet, um die Integrität der Revisionsdatensätze sicherzustellen. Die Ereignisse add_grp, add_usr, add_usr_grp, mod_grp und mod_usr werden aufgezeichnet, um sicherzustellen, dass Sie die Richtigkeit der in der Protokolldatei enthaltenen Benutzer- und Gruppenattribute jederzeit überprüfen können.

Wenn die Benutzer- und Gruppeninformationen geändert werden, sollte der Revisionsverwalter den Befehl auditmap ausführen, um neue Zuordnungsdateien zu erstellen. Beachten Sie jedoch, dass Änderungen an den Zuordnungsdateien dazu führen könnten, dass vorher aufgezeichnete Daten nicht mehr konvertiert werden können. Sie sollten daher die Verarbeitung vorher aufgezeichneter Daten abschließen, bevor Sie die Zuordnungsdateien ändern.

Von festen Ereignissen erstellte Revisionsdatensätze enthalten immer ``allgemeine'' Daten. Feste Ereignisse sind nicht mit Objekten verknüpft, es werden also keine Objektdaten aufgezeichnet. Auf der Manual-Seite auditrpt(1M) finden Sie eine Beschreibung der ``eindeutigen'' Daten, die für jedes feste Ereignis aufgezeichnet werden.