O registro de data e hora e o usuário + processo que executou a exclusão do arquivo foram rastreados?
Eu configurei agora a auditoria do Solaris e fiz as seguintes entradas audit_control, audit_class e audit_event:
$ grep pf /etc/security/audit_control
flags:pf,fd
$ grep pf /etc/security/audit_event
6:AUE_UNLINK:unlink(2):fd,pf
48:AUE_RMDIR:rmdir(2):fd,pf
286:AUE_UNLINKAT:unlinkat(2):fd,pf
6182:AUE_filesystem_delete:delete filesystem:as,pf
6185:AUE_network_delete:delete network attributes:as,pf
$ grep pf /etc/security/audit_class
0x10000000:pf:rems
$ grep fd /etc/security/audit_class
0x00000020:fd:file delete
Parece ser possível auditar e registrar com êxito a maioria das exclusões de arquivos, mas há algumas exclusões de arquivos que não são capturadas. Um exemplo específico são exclusões realizadas em um aplicativo Lavastorm que estamos usando. Aqueles não estão registrados.
Tags solaris solaris-10