参考指南 › 配置文件 › audit.cfg 文件－筛选审核记录 › audit.cfg 文件－登录和注销事件筛选语法

audit.cfg 文件－登录和注销事件筛选语法

属于登录或注销事件的审核记录具有以下筛选格式：

LOGIN;UserName;UserId;TerminalName;LoginProgram;AuthorizationResultOrLoginType

LOGIN

指定该规则筛选由登录和注销事件生成的审核记录。

用户名

定义访问者的名称。

UserId

(UNIX) 定义访问者的本地用户 ID。

TerminalName

定义发生事件的终端。

LoginProgram

定义尝试登录或注销的程序名称。

AuthorizationResultorLoginType

定义授权结果。

值:

*

代表任意授权结果类型的通配符。

D

已拒绝登录尝试。

P

已允许登录尝试。

O

(UNIX) 访问者注销。

I

(UNIX) serevu 后台进程已吊销访问者的帐户。

E

(UNIX) serevu 后台进程已启用访问者的帐户。

A

(UNIX) serevu 后台进程或可插入身份验证模块对用户使用不正确的密码登录的尝试进行了审核。

注意：Windows 不会记录注销事件。

示例：筛选登录或注销事件

• 此示例可筛选在 root 登录已获得许可的帐户时生成的所有审核记录：

  LOGIN;root;*;*;*;P
  

• 此示例可筛选在由系统的 CRON 程序引起的 root 登录成功时生成的所有审核记录：

  LOGIN;root;*;*;SBIN_CRON;P
  

• 此示例可筛选在 _CRONJOB_ 进程注销 root 用户时生成的所有审核记录：

  LOGIN;root;*;_CRONJOB_;*;O