在开始阅读这章之前, 我们需要解释一下与审计有关的一些关键的术语:
事件 (event): 可审计事件是指能够被审计子系统记录的任何事件。 举例说来, 与安全有关的事件包括创建文件、 建立网络连接, 以及以某一用户身份登录, 等等。 任何事件必要么是 “有主 (attributable)” 的, 即可以最终归于某一已通过验证的用户的身份, 反之, 则称该事件是 “无主 (non-attributable)” 的。 无主事件可以是发生在登录过程成功之前的任何事件, 例如尝试一次无效密码等。
类 (class): 事件类是指相关事件的一个命名集合, 通常在筛选表达式中使用。 常用的事件类包括 “创建文件” (fc)、 “执行” (ex) 和 “登入和注销” (lo)。
记录 (record): 记录是指描述一个安全事件的日志项。 记录包括记录事件类型、 执行操作的主体 (用户) 信息、 日期和事件信息, 以及与之相关的对象或参数信息, 最后是操作成功或失败。
账目 (trail): 审计账目, 或日志文件, 包含了一系列描述安全事件的审计记录。 典型情况下, 审计账目基本上是以事件发生的时间顺序记录的。 只有获得授权的进程, 才能够向审计账目中提交记录。
筛选表达式 (selection expression): 筛选表达式是包含一系列前缀和审计事件类名字, 用以匹配事件的字符串。
预选 (preselection): 系统通过这一过程来识别事件是否是管理员所感兴趣的, 从而避免为他们不感兴趣的事件生成记录。 预选配置使用一系列选择表达式, 用以识别事件类别、 要审计的用户, 以及适用于验证过用户身份, 以及未验证用户身份的进程的全局配置。
浓缩 (reduction): 从现有的审计记帐中筛选出用于保留、 打印或分析的过程。 除此之外, 它也表示从审计记帐中删去不需要的审计记录的过程。 通过使用浓缩操作, 管理员可以实现预留审计数据的策略。 例如, 详细的审计记帐信息, 可能会保留一个月之久, 但在这之后, 则对这些记帐信息执行浓缩操作, 只保留登录信息用于存档。
本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
如果对于FreeBSD有问题,请先阅读
文档,如不能解决再联系
<questions@FreeBSD.org>.
关于本文档的问题请发信联系
<doc@FreeBSD.org>.