属于资源访问事件的审核记录具有以下筛选格式:
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
定义被访问对象所属的类的名称。
注意:以大写字母输入类的名称。
定义被访问的对象的名称。
定义访问者的名称。
定义用于访问对象的程序的名称。
定义所请求的对象访问。
注意:以下为该参数的值,您可以在 audit.cfg 文件中使用该参数筛选出审核记录。 在某些情况下,audit.cfg 文件中该参数的值与 CA ControlMinder 在该事件的审核记录中写入的值会有所不同。 任何此类差异都会在每个值的说明后面注明。 按该参数在以下列表中出现的情况键入它。
值:
代表任意访问类型的通配符。
更改目录-访问者请求将对象移至其他目录。
更改模式-访问者请求更改对象的模式。
(UNIX) 更改组-访问者请求更改对象所属的组。
更改所有者-访问者请求更改对象的所有者。
连接
将用户加入组-访问者请求将新用户添加到组中。
注意:connect 值与 join 值相同。
控制
(UNIX) Control-访问者要求对对象的 Chown、Chmod、Utime、Sec、Chdir 和 Update 权限。
创建-访问者请求创建一个对象。
Crrdwr
Create、Read 和 Write-访问者要求对对象的创建、读取和写入权限。
注意:CA ControlMinder 会在对应的审核记录中将该值写入为 CrRdWrite。
Crread
Create 和 Read-访问者要求对对象的创建和读取权限。
注意:CA ControlMinder 会在对应的审核记录中将该值写入为 CrRead。
Crwrite
Create 和 Write-访问者要求对对象的创建和写入权限。
注意:CA ControlMinder 会在对应的审核记录中将该值写入为 CrWrite。
删除-访问者请求删除一个对象。
注意:CA ControlMinder 会在对应的审核记录中将该值写入为 Erase。
Filereplace
创建和擦除-访问者请求对象的创建和擦除访问权限。
注意:CA ControlMinder 会在对应的审核记录中将该值写入为 Replace。
Filescan
Filescan-访问者要求对对象的 List 权限。
注意:CA ControlMinder 会在对应的审核记录中将该值写入为 Scan。
将用户加入组-访问者请求将新用户添加到组中。
注意:join 值与 connect 值相同。
终止-访问者请求终止进程。
修改
Modify-访问者要求对对象的修改权限。
OwnGrp
Change owner 和 Change group-访问者要求对对象的更改所有者和更改组权限。
PW
Password-访问者请求更改密码。
注意:CA ControlMinder 会在对应的审核记录中将该值写入为 Password。
读取-访问者请求对对象的访问权限。
注意:(UNIX) 如果将 STAT_intercept 设置为 1,该参数将包括 stat 拦截。
更改文件名-访问者请求更改对象的文件名。
更改 ACL-访问者请求编辑对象的 ACL。
注意:CA ControlMinder 会在对应的审核记录中将该值写入为 ACL。
更新
Read、Write 和 Execute-访问者要求对对象的读取、写入和执行权限。
注意:当访问者请求对对象的读取和写入权限时,Update 值也可筛选事件。
(UNIX) 更改时间-访问者请求更改对象的修改时间。
注意:CA ControlMinder 会在对应的审核记录中将该值写入为 Utimes。
写入-访问者请求对对象的写入权限。
执行-访问者请求执行一个对象。
注意:某些值并非对每个类均有效。 例如:kill 对 FILE 类无效,因为不可对 FILE 类中的对象执行终止操作。 如果在写入规则时输入了对某个类别无效的值,CA ControlMinder 将在读取文件时忽略该规则。
定义授权结果。
值:P(已允许)、D(已拒绝)、*
示例:审核筛选策略
env config
er config audit.cfg line+("FIEL;*;*;*;R;P")
FILE;*;*;*;R;P
|
版权所有 © 2013 CA。
保留所有权利。
|
|