参考指南 › 配置文件 › audit.cfg 文件－筛选审核记录 › audit.cfg 文件－网络连接事件筛选语法

audit.cfg 文件－网络连接事件筛选语法

属于网络连接事件的审核记录具有以下筛选格式：

{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult

HOST

指定该规则筛选由 HOST 类对象（即传入 TCP 连接）生成的记录。

TCP

指定该规则筛选由 HOST 类对象（即连接服务事件）生成的记录。

对象名

定义被访问的对象的名称。 ObjectName 可以是服务名称或端口号。

HostName

定义主机的名称。 HostName 必须是 HOST 类中的对象。

ProgramPath

定义登录程序类型。

(Windows) 对于传出连接，此参数定义了尝试建立连接的进程的程序路径。

注意：此参数对传入连接事件没有任何意义。 为此参数使用 * 可筛选由传入连接事件生成的审核记录。

访问

定义所尝试的连接的类型。

值:

• (HOST) *
• (TCP) R（传入连接）、W（传出连接）、*

AuthorizationResult

定义授权结果。

值：P（已允许）、D（已拒绝）、*

示例：筛选网络连接事件

• 此示例将筛选来自主机 ca.com，且由成功传入之 telnet 连接生成的所有审核记录：

  HOST;telnet;ca.com;*;*;P
  

• 此示例将筛选来自主机 ca.com，且由被拒绝的传入和传出登录 TCP 连接生成的所有审核记录：

  TCP;login;ca.com;*;*;D
  

• 此示例可筛选由传出的 telnet 连接生成的主机 ca.com 中的所有审核记录：

  TCP;telnet;ca.com;*;W;*