是否可以确定哪个用户篡改了 AIQUM 中的审核日志?
适用于
Active IQ Unified Manager - AIQUM
回答
- 这是不可能的,因为警报不是根据数据库中的记录更改触发的
- AIQUM 将审计日志存储在 mysql 数据库中,并在此过程中根据日志文件生成签名
- AIQUM 将定期将当前签名结果与已存储的签名结果进行比较
- 当出现不匹配时,会触发警报:
Audit log File audit.<DATETIME>.gz got tampered
Audit log File audit.<DATETIME>.gz got tampered