19.2.关键术语

以下术语与安全事件审计相关:

  • 事件:可通过审计子系统记录的任何事件都属于可审计事件。安全相关事件的示例包括文件创建、网络连接建立或用户登录。事件分为“可归因”,即可以追溯到经过身份验证的用户,或者“不可归因”。不可归因事件的示例包括身份验证前登录过程中发生的任何事件,如密码错误尝试。

  • 类:选择表达式中使用的一组相关事件的命名。常用的事件类包括“文件创建”(fc)、“执行”(ex)和“登录注销”(lo)。

  • 记录:描述安全事件的审计日志条目。记录包含记录事件类型、执行操作的主体(用户)信息、日期和时间信息、任何对象或参数的信息,以及成功或失败的条件。

  • trail:一个由一系列描述安全事件的审计记录组成的日志文件。跟事件完成时间有关,按照大致时间顺序排列。只有授权的进程才能让向审计路径提交记录。

  • selection expression:一个字符串,包含用于匹配事件的前缀列表和审计事件类名称。

  • preselection:系统识别管理员感兴趣的事件的过程。预选配置使用一系列选择表达式,以确定要为哪些用户审计哪些事件类,以及同时适用于已验证和未验证进程的全局设置。

  • 精选:从现有审计追踪中选择记录以供保留、打印或分析的过程。同样,不需要的审计记录从审计追踪中移除的过程。通过精选,管理员可以实施保留审计数据的政策。例如,详细的审计追踪可能会保留一个月,但之后可能会进行精选,只保留登录信息以备存档目的。

最后更新于

FreeBSD 中文社区 2024