19.1.概述

FreeBSD 操作系统包括对安全事件审计的支持。事件审计支持可靠、细粒度和可配置的日志记录，涵盖了各种安全相关的系统事件，包括登录、配置更改以及文件和网络访问。这些日志记录对于实时系统监控、入侵检测和事后分析非常宝贵。FreeBSD 实现了 Sun™ 发布的基本安全模块（BSM）应用程序接口（API）和文件格式，并且与 Solaris™ 和 Mac OS® X 的审计实现具有互操作性。

本章重点介绍事件审计的安装和配置。它解释了审计策略并提供了审计配置示例。

阅读本章后，你将了解：

• 什么是事件审计，它如何工作。

• 如何为 FreeBSD 配置用户和进程的事件审计。

• 如何使用审计缩减和审查工具查看审计记录。

在阅读本章之前，你应该：

• 了解 UNIX® 和 FreeBSD 基础知识 (FreeBSD Basics)。

• 熟悉内核配置/编译的基础知识 (Configuring the FreeBSD Kernel)。

• 对安全性有所了解，并了解其与 FreeBSD 的关系 (Security)。

警告

审计设施存在一些已知的限制，并非所有安全相关的系统事件都可以审计。有些登录机制，如基于 Xorg 的显示管理器和第三方守护进程，未正确配置用户登录会话的审计。

审计事件设施能够生成非常详细的系统活动日志。在繁忙的系统中，当配置为高详细度时，审计文件数据可能会非常庞大，在某些配置下每周超过几个吉字节。管理员应考虑高容量审计配置所需的磁盘空间。例如，可能希望为 /var/audit 专门分配一个文件系统，以防审计文件系统变满时不影响其他文件系统。