Назад | Перейти на главную страницу

Есть ли способ проверить удаление файлов в Solaris?

Можно ли отследить метку времени и пользовательский процесс, выполнивший удаление файла?

Я установил аудит Solaris и сделал следующие записи audit_control, audit_class и audit_event:

$ grep pf /etc/security/audit_control
flags:pf,fd
$ grep pf /etc/security/audit_event
6:AUE_UNLINK:unlink(2):fd,pf
48:AUE_RMDIR:rmdir(2):fd,pf
286:AUE_UNLINKAT:unlinkat(2):fd,pf
6182:AUE_filesystem_delete:delete filesystem:as,pf
6185:AUE_network_delete:delete network attributes:as,pf
$ grep pf /etc/security/audit_class
0x10000000:pf:rems
$ grep fd /etc/security/audit_class
0x00000020:fd:file delete

Кажется, что он может успешно контролировать и регистрировать большинство удалений файлов, но есть некоторые удаления файлов, которые он не может зафиксировать. Конкретный пример - удаление, выполняемое из используемого нами приложения Lavastorm. Те не регистрируются.