11203이라는 디렉터리에 대한 권한이 두 번 변경되었기 때문에 호스팅 응용 프로그램에 몇 가지 문제가 발생했습니다.
다음 명령을 사용할 때:
ausearch -i |grep chmod |grep 11203
나는 다음과 같은 결과를 얻습니다
type=USER_CMD msg=audit(12/16/2014 17:15:36.201:68342) : user pid=19247 uid=enginst auid=enginst ses=4229 msg='cwd=/apps/oradump/ora_temp_rdbms/OH3 cmd=chmod -R 777 11203 terminal=pts/2 res=success'
type=USER_CMD msg=audit(12/16/2014 17:36:33.968:68753) : user pid=1801 uid=enginst auid=enginst ses=4229 msg='cwd=/apps/oracle/RDBMS cmd=chmod -R 777 11203 terminal=pts/2 res=success'
위 결과 중 일부를 이해할 수 있지만 여전히 몇 가지 질문이 있습니다.
위의 내용은 chmod 명령이 사용자 enginst에 의해 터미널에서 직접 명령으로 실행되었다는 의미입니까, 아니면 사용자 enginst에 의해 시작되는 일부 프로세스에 의해 시작될 수 있습니까?
결과의 두 pid는 "ps aux" 출력에서 찾을 수 없습니다. 이 pid는 "chmod" 명령의 pid입니까?
이 문제를 해결하기 위해 더 많은 로깅을 활성화하려면 어떻게 해야 합니까?
나는 pid 등이 참조하는 프로세스를 기록할 것이라고 가정하고 psacct 프로세스를 시작했습니다.
프로세스가 완료되고 "ps aux" 출력에 없더라도 다음 명령이 pid에 대한 정보를 제공한다는 것을 다른 링크에서 발견했습니다.
dump-acct /var/account/pacct | awk -F '|' '$10 ~ / 31652 / {print}'
하지만 유효한 pid(완료된 프로세스의 pid)를 제공한 후에도 위 명령에서 결과를 얻지 못하기 때문에 그렇지 않은 것 같습니다.
누군가 이것을 명확히 할 수 있습니까? 감사해요.