11203というディレクトリの権限が2回変更されたため、ホスティングアプリケーションでいくつかの問題が発生しました。
次のコマンドを使用する場合:
ausearch -i |grep chmod |grep 11203
私は次のような結果を得る
type=USER_CMD msg=audit(12/16/2014 17:15:36.201:68342) : user pid=19247 uid=enginst auid=enginst ses=4229 msg='cwd=/apps/oradump/ora_temp_rdbms/OH3 cmd=chmod -R 777 11203 terminal=pts/2 res=success'
type=USER_CMD msg=audit(12/16/2014 17:36:33.968:68753) : user pid=1801 uid=enginst auid=enginst ses=4229 msg='cwd=/apps/oracle/RDBMS cmd=chmod -R 777 11203 terminal=pts/2 res=success'
上記の結果のいくつかを理解できますが、まだいくつかの質問があります。
上記は、chmod コマンドがユーザー enginst によって端末から直接コマンドとして実行されたことを意味しますか、それともユーザー enginst によって開始されるいくつかのプロセスによって開始できますか?
結果の2つのpidは「ps aux」出力で見つけることができません。このpidは "chmod"コマンドのpidですか?
この問題を解決するためにさらにロギングを有効にするにはどうすればよいですか?
私はpidなどが参照するプロセスを記録すると仮定し、psacctプロセスを開始しました。
プロセスが完了し、「ps aux」出力にない場合でも、次のコマンドがpidに関する情報を提供することを別のリンクで見つけました。
dump-acct /var/account/pacct | awk -F '|' '$10 ~ / 31652 / {print}'
しかし、有効なpid(完了したプロセスのpid)を提供した後も、上記のコマンドで結果が得られないため、そうでないようです。
誰かがこれを明確にすることができますか?ありがとうございます。