有没有办法在Solaris上审计文件删除？

是否可以跟踪执行文件删除的时间戳和用户+进程？

我现在已经设置了solaris审计，并且已经做了以下audit_control，audit_class和audit_event条目：

$ grep pf /etc/security/audit_control flags:pf,fd $ grep pf /etc/security/audit_event 6:AUE_UNLINK:unlink(2):fd,pf 48:AUE_RMDIR:rmdir(2):fd,pf 286:AUE_UNLINKAT:unlinkat(2):fd,pf 6182:AUE_filesystem_delete:delete filesystem:as,pf 6185:AUE_network_delete:delete network attributes:as,pf $ grep pf /etc/security/audit_class 0x10000000:pf:rems $ grep fd /etc/security/audit_class 0x00000020:fd:file delete 

它似乎能够成功地审计和logging大多数文件删除，但有一些文件删除，它无法捕捉。 一个具体的例子是从我们正在使用的Lavastorm应用程序执行删除。 那些没有login。

• 有没有简单的方法来编译Solaris 10上的Illumos组件？
• 磁盘和Inode配额都超过了; 不能删除任何东西
• postgres solaris smf服务可以在线监听状态，然后才能监听连接
• ZFS – Solaris 10在HP Pro DL380 G7上重新启动后不会看到磁盘
• 恢复ZFS删除的文件名