Beispiele für Überwachungsnachrichten
Änderungen vorschlagen
PDFs
Detaillierte Informationen finden Sie in jeder Audit-Nachricht. Alle Überwachungsmeldungen verwenden das gleiche Format.
Im Folgenden finden Sie ein Beispiel für eine Audit-Meldung, wie sie in der Datei angezeigt werden könnte audit.log:
2014-07-17T21:17:58.959669 [AUDT:[RSLT(FC32):SUCS][TIME(UI64):246979][S3AI(CSTR):"bc644d 381a87d6cc216adcd963fb6f95dd25a38aa2cb8c9a358e8c5087a6af5f"][ S3AK(CSTR):"UJXDKKQOXB7YARDS71Q2"][S3BK(CSTR):"s3small1"][S3K Y(CSTR):"hello1"][CBID(UI64):0x50C4F7AC2BC8EDF7][CSIZ(UI64):0 ][AVER(UI32):10][ATIM(UI64):1405631878959669][ATYP(FC32):SPUT ][ANID(UI32):12872812][AMID(FC32):S3RQ][ATID(UI64):1579224144 102530435]]
Die Überwachungsmeldung enthält Informationen über das zu protokollierte Ereignis sowie Informationen über die Meldung selbst.
Um festzustellen, welches Ereignis durch die Überwachungsmeldung aufgezeichnet wird, suchen Sie nach dem ATYP-Attribut (unten hervorgehoben):
2014-07-17T21:17:58.959669 [AUDT:[RSLT(FC32):SUCS][TIME(UI64):246979][S3AI(CSTR):"bc644d 381a87d6cc216adcd963fb6f95dd25a38aa2cb8c9a358e8c5087a6af5f"][ S3AK(CSTR):"UJXDKKQOXB7YARDS71Q2"][S3BK(CSTR):"s3small1"][S3K Y(CSTR):"hello1"][CBID(UI64):0x50C4F7AC2BC8EDF7][CSIZ(UI64):0 ][AVER(UI32):10][ATIM(UI64):1405631878959669][ATYP(FC32):SP UT][ANID(UI32):12872812][AMID(FC32):S3RQ][ATID(UI64):1579224 144102530435]]
Der Wert des ATYP-Attributs ist SPUT. "SPUT" Stellt eine S3-PUT-Transaktion dar, die die Aufnahme eines Objekts in einen Bucket protokolliert.
Die folgende Meldung des Audits zeigt auch den Bucket an, dem das Objekt zugeordnet ist:
2014-07-17T21:17:58.959669 [AUDT:[RSLT(FC32):SUCS][TIME(UI64):246979][S3AI(CSTR):"bc644d 381a87d6cc216adcd963fb6f95dd25a38aa2cb8c9a358e8c5087a6af5f"][ S3AK(CSTR):"UJXDKKQOXB7YARDS71Q2"][S3BK\(CSTR\):"s3small1"][S3 KY(CSTR):"hello1"][CBID(UI64):0x50C4F7AC2BC8EDF7][CSIZ(UI64): 0][AVER(UI32):10][ATIM(UI64):1405631878959669][ATYP(FC32):SPU T][ANID(UI32):12872812][AMID(FC32):S3RQ][ATID(UI64):157922414 4102530435]]
Um zu ermitteln, wann das PUT-Ereignis aufgetreten ist, notieren Sie den UTC-Zeitstempel (Universal Coordinated Time, Universal Coordinated Time, koordinierte Zeit) zu Beginn der Überwachungsmeldung. Dieser Wert ist eine vom Menschen lesbare Version des ATIM-Attributs der Überwachungsmeldung selbst:
2014-07-17T21:17:58.959669 [AUDT:[RSLT(FC32):SUCS][TIME(UI64):246979][S3AI(CSTR):"bc644d 381a87d6cc216adcd963fb6f95dd25a38aa2cb8c9a358e8c5087a6af5f"][ S3AK(CSTR):"UJXDKKQOXB7YARDS71Q2"][S3BK(CSTR):"s3small1"][S3K Y(CSTR):"hello1"][CBID(UI64):0x50C4F7AC2BC8EDF7][CSIZ(UI64):0 ][AVER(UI32):10][ATIM\(UI64\):1405631878959669][ATYP(FC32):SP UT][ANID(UI32):12872812][AMID(FC32):S3RQ][ATID(UI64):15792241 44102530435]]
ATIM zeichnet die Zeit in Mikrosekunden, seit Beginn der UNIX-Epoche. In diesem Beispiel wird der Wert 1405631878959669 in Donnerstag, 17. Juli 2014 21:17:59 UTC übersetzt.