auditrouteflt.cfg 文件可以通过定义 CA ControlMinder 不应发送到分发服务器的记录来筛选审核记录传递。 每行均代表筛选出审核信息的一条规则。 文件路径名由 ReportAgent 部分中的 audit_filter 配置设置定义。
注意:筛选的审核事件将写入本地审核文件,但 CA ControlMinder 不会将其发送到分发服务器上的消息队列。 要从本地审核文件筛选出审核消息,请修改由 logmgr 部分中 AuditFiltersFile 配置设置定义的文件(默认为 audit.cfg)中的筛选规则。
您可以使用 auditrouteflt.cfg 文件筛选出以下审核事件类型的记录(各种类型使用的语法不同):
注意:在每种语法类型的任意列中,* 均表示“任意值”。
资源访问事件筛选语法
属于资源访问事件的审核记录具有以下筛选格式:
ClassName;ObjectName;UserName;ProgramPath;Access;AuthorizationResult
定义被访问对象所属的类的名称。
注意:您必须以大写字母输入类的名称。
定义被访问的对象的名称。
定义访问者的名称。
定义用于访问对象的程序的名称。
定义所请求的对象访问。
值:
代表任意访问类型的通配符。
更改目录-访问者请求将对象移至其他目录。
更改模式-访问者请求更改对象的模式。
(UNIX) 更改组-访问者请求更改对象所属的组。
更改所有者-访问者请求更改对象的所有者。
创建-访问者请求创建一个新对象。
删除-访问者请求删除一个对象。
将用户加入组-访问者请求将新用户添加到组中。
终止-访问者请求终止进程。
读取-访问者请求对对象的访问权限。
注意:(UNIX) 如果 STAT_intercept 设置为 1,则此参数包括 stat 拦截。
更改文件名-访问者请求更改对象的文件名。
更改 ACL-访问者请求编辑对象的 ACL。
(UNIX) 更改时间-访问者请求更改对象的修改时间。
写入-访问者请求对对象的写入权限。
执行-访问者请求执行一个对象。
注意:某些值并非对每个类均有效。 例如:kill 对 FILE 类无效,因为不可对 FILE 类中的对象执行终止操作。 如果在写入规则时输入了对某个类别无效的值,CA ControlMinder 将在读取文件时忽略该规则。
定义授权结果。
值:P(已允许)、D(已拒绝)、*
网络连接事件筛选语法
属于网络连接事件的审核记录具有以下筛选格式:
{HOST|TCP};ObjectName;HostName;ProgramPath;Access;AuthorizationResult
指定该规则筛选由 HOST 类对象(即传入 TCP 连接)生成的记录。
指定该规则筛选由 HOST 类对象(即连接服务事件)生成的记录。
定义被访问的对象的名称。 ObjectName 可以是服务名称或端口号。
定义主机的名称。 HostName 必须是 HOST 类中的对象。
定义登录程序类型。
(Windows) 对于传出连接,此参数定义了尝试建立连接的进程的程序路径。
注意:此参数对传入连接事件没有任何意义。 为此参数使用 * 可筛选由传入连接事件生成的审核记录。
定义所尝试的连接的类型。
值:
定义授权结果。
值:P(已允许)、D(已拒绝)、*
登录和注销事件筛选语法
属于登录或注销事件的审核记录具有以下筛选格式:
LOGIN;UserName;UserId;TerminalName;LoginProgram;AuthorizationResultOrLoginType
指定该规则筛选由登录和注销事件生成的审核记录。
定义访问者的名称。
定义访问者的本地用户 ID。
定义发生事件的终端。
定义尝试登录或注销的程序名称。
定义授权结果。
值:
代表任意授权结果类型的通配符。
已拒绝登录尝试。
已允许登录尝试。
(UNIX) 访问者注销。
(UNIX) serevu 后台进程已吊销访问者的帐户。
(UNIX) serevu 后台进程已启用访问者的帐户。
(UNIX) serevu 后台进程或可插入身份验证模块对用户使用不正确的密码登录的尝试进行了审核。
注意:Windows 不会记录注销事件。
安全数据库管理事件筛选语法
属于安全数据库管理事件的审核记录具有以下筛选格式:
ADMIN;ClassName;ObjectName;UserName;EffectiveUserName;TerminalName;Command;CommandResult
指定该规则筛选由管理员执行的事件生成的审核记录。
定义管理员执行命令的类。
定义管理员的命令更新的对象。
定义执行命令的用户的名称。
(UNIX) 定义适用该规则的有效用户的名称。
(Windows) 定义适用该规则的本地用户的名称。
定义发生事件的终端。
定义管理员执行的 selang 命令。
定义授权或命令结果。
值:S(命令已成功)、F(命令已失败)、D(命令已拒绝)、*
有关用户事件的跟踪消息的筛选语法
属于有关用户事件的跟踪消息的审核记录具有以下筛选格式:
TRACE;TracedClassName;TracedObjectName;RealUserName;EffectiveUserName;ACUserName;AuthorizationResult;TraceMessage
指定该规则筛选用户跟踪记录。
定义用户尝试访问的对象类的名称。
注意:您必须以大写字母输入类的名称。
定义用户尝试访问的对象的名称。
(UNIX) 定义生成跟踪记录的真实用户的名称。
(Windows) 定义生成跟踪记录的本地用户的名称。
(UNIX) 定义生成跟踪记录的有效用户的名称。
(Windows) 定义生成跟踪记录的本地用户的名称。 此参数与 RealUserName 参数相同。 为此参数使用 *。
定义 CA ControlMinder 选择用于授权事件的用户名。
定义授权结果。
值:P(已允许)、D(已拒绝)、*
定义生成的跟踪消息。
示例:筛选网络连接事件
HOST;telnet;ca.com;*;*;P
TCP;login;ca.com;*;*;D
TCP;telnet;ca.com;*;W;*
示例:筛选登录或注销事件
LOGIN;root;*;*;*;P
LOGIN;root;*;*;SBIN_CRON;P
LOGIN;root;*;_CRONJOB_;*;O
示例:筛选安全数据库管理事件
此示例可筛选由 admin01 使用的 FILE 管理命令成功时生成的所有审核记录:
ADMIN;FILE'*;admin01;*;*;*;S
示例:筛选有关用户消息事件的跟踪
此示例可筛选在有效用户是 root 且 root 访问 FILE 类中的对象时生成的用户跟踪记录:
TRACE;FILE;*;*;root;*;*;*
示例:审核筛选策略
此示例为您展示了审核筛选策略的格式:
env config
er config auditrouteflt.cfg line+("FILE;*;*;R;P")
此策略会将以下行写入 auditrouteflt.cfg 文件:
FILE;*;*;R;P
此行可筛选用于记录在任何访问者试图对任何文件资源进行读取时,得到允许的访问尝试的审核记录。
|
版权所有 © 2013 CA。
保留所有权利。
|
|